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Editorial 
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Datenschutz in Schulen und Bildungseinrichtungen ist ein weites und interessantes 
Themenfeld, das schon länger auf dem Wunschzettel der DANA-Redaktion stand. Be- 
reits im Jahr 2011 gab es ein Heft mit dem Titel „Datenschutz in Schulen“. Seinerzeit 
forderte Hajo Köppen im Leitartikel „Datenschutzpraxis an Schulen - Nachsitzen ist 
angesagt!“ und die Landesdatenschutzbeauftragten setzten sich für die Entwicklung 
und Stärkung der Medienkompetenz von Schülern und Lehrern ein. 


Zehn Jahre später sind beide Anliegen (leider) immer noch hochaktuell. In einem Ein- 
führungsartikel zum Schwerpunkt werden die verschiedenen Artikel vorgestellt. 


Außerdem haben wir in dieser Ausgabe noch einen Artikel von Ulrich Kelber zum 
Datenschutzbashing, einen Artikel von Thilo Weichert zur Polizeirechtsreform in 
Schleswig-Holstein, sowie Pressemitteilungen und offene Briefe befreundeter Or- 
ganisationen. 


Abschließend versprechen die Datenschutznachrichten aus dem In- und Ausland so- 
wie die Rechtsprechungsübersicht und die Buchbesprechungen weitere Anregungen. 


Wir wünschen Ihnen eine schöne Sommerzeit! 
Markus ERfeld, Riko Pieper und Frank Spaeing 
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Markus Eßfeld 


Datenschutz hat seine 
unionsrechtliche Grundla- 
ge in Artikel 8 der Charta 
der Grundrechte der Eu- 
ropäischen Union und sein 
 verfassungsrechtliches 
- Fundament im informa- 
tionellen Selbstbestim- 
Er genießt grundrechtli- 
"hutz. Sind die Betroffenen Kin- 
ugendliche beim Schulbesuch, 
weitere Rechtsvorschriften in 
kus. Zu nennen wäre Artikel 7 
etz, wonach das Schulwesen 
er Aufsicht des Staates steht. Zu 
ı wäre an Artikel 6 Grundgesetz, 
der das Wächteramt des Staates 
bei der Erziehung der Kinder 

+ festschreibt. Zahlreiche 
__  Gesetzesvorschriften ohne 
Verfassungsrang wären aufzu- 
zählen. Zustimmung dürfte der 
undsatz finden, dass Kinder und 
endliche besonders schützens- 


n ihren Umgang mit dem Inter- 
: und damit verbundener elek- 


rer und Eltern zählen zu den 
ten Akteuren im schuli- 


cht in Pandemiezeiten 
ne besondere Herausfor- 


020 m um technische 
ılänglichkeiten bei der Um- 
auf den digitalen Fern- 
‘ging, haben im Pande- 
weitere Fragen an Brisanz 
ehört im Allgemeinen 
der beteiligten Akteure, 
rmationstechnik des In- 

ehen sowie der daten- 
me Umgang mit den dabei 
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_ Datenschutz in Schulen und 


preisgegebenen Daten. Die Klagen über 
fehlende Medienkompetenz und man- 
gelnde Sensibilisierung für den Daten- 
schutz im schulischen Bereich sind alt: 
Bereits in der DANA 4/2011, mithin vor 
fast 10 Jahren (!), findet sich ein ent- 
sprechender Aufruf des niedersächsi- 
schen Landesdatenschutzbeauftragten 
zur Entwicklung der Medienkompeten- 
zen der Schüler. Seither waren die tech- 
nische Entwicklung und die damit ver- 
bundenen Herausforderungen enorm; 
die Nutzung des Internets hat auch an 
Schulen erheblich zugenommen. Ob 
das Wissen um den Datenschutz und 
die Fähigkeiten beim Umgang mit den 
nicht mehr ganz so neuen Medien da- 
mit Schritt gehalten haben, ist höchst 
fragwürdig. Verdienstvoll ist hier die 
in dieser DANA-Ausgabe beschriebene 
Initiative des Berufsverbandes der Da- 
tenschutzbeauftragten Deutschlands 
(BvD) e.V. namens „Datenschutz geht 
zur Schule“ (DSgzS) (ab Seite 85). 

Zahlreiche beruflich mit dem Daten- 
schutz befasste Personen sind seit vie- 
len Jahren ehrenamtlich in den Schulen 
aktiv und versuchen, bei Schülern und 
Lehrern mehr Kompetenzen im Umgang 
mit elektronischen Medien zu schaffen 
und das Bewusstsein für das Recht auf 
informationelle Selbstbestimmung zu 
fördern. Der Erfolg ist beachtlich! 

Die Probleme allerdings auch. Zu 
Recht beklagt der Thüringer Landesbe- 
auftragte für den Datenschutz und die 
Informationsfreiheit, Dr. Lutz Hasse, 
die großen Defizite im Medienkundeun- 
terricht (ab Seite 73). Insbesondere den 
Hochschulen fehle es an Strategie und 
Systematik. Die Lehrpläne müssten in 
diesem Bereich regelmäßig angepasst 
werden. Der Kenntnisstand von Lehrern 
und Schülern zu informationstechno- 
logischen Fragen sei nicht ausreichend 
entwickelt. Diese Erkenntnis ist leider 
nicht neu. Erfreulich ist, dass sie - pan- 
demiebezogen - in jüngerer Zeit mehr 
Beachtung erfährt: So hat beispielswei- 
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se das Brandenburgische Ministerium 
für Bildung, Jugend und Sport ein um- 
fangreiches und instruktives Papier für 
die weitere Diskussion formuliert! und 
die Brandenburger Landesregierung 
dem Landtag einen Gesetzentwurf vor- 
gelegt, der die Nutzung digitaler Lehr- 
und Lernmittel legitimieren soll’. 

Mit einer Legitimierung digitaler Lehr- 
mittel im Schulgesetz ist es freilich nicht 
getan. Die Hausaufgabenliste für die 
gestaltenden Akteure, nicht zuletzt für 
die obersten Kultusbehörden der Bun- 
desländer, ist lang. Da wird man über 
den drohenden Lock-In-Effekt an Schu- 
len nachdenken und darauf reagieren 
müssen (beachten Sie dazu den Artikel 
ab Seite 79). Mit diesem Begriff aus der 
Betriebswirtschaftslehre ist die Abhän- 
gigkeit gemeint, in die u.a. Schulen 
sich begeben, wenn sie sich beim Kauf 
überstürzt in eine besondere Bindung an 
einen bestimmten Hersteller von Hard- 
ware- und Software-Produkten begeben 
und damit konzeptlos eine langfristige 
Abhängigkeit begründen, die der Schu- 
le und den Schülern nur schaden kann. 
Mangels Fachpersonal vor Ortist es nicht 
einfach, hier den richtigen Weg zu fin- 
den. Einen lesenswerten Aufsatz dazu 
verfasste Jessica Wawrzyniak, der sich 
mit Problemen datenschutzfreundlichen 
Unterrichts beschäftigt (ab S. 76). 

Nachgedacht wird auch über die 
Rechtmäßigkeit der Nutzung von Mi- 
crosoft Office 365. Die Bedenken sind 
erheblich; beispielsweise der Baden- 
Württembergische Landesbeauftragte 
für Datenschutz und Informationsfrei- 
heit rätvon der Nutzung ab? (siehe auch 
die dazugehörige Presseerklärung auf 
S. 102). Begrüßenswert sind die Ver- 
handlungen zwischen dem amerikani- 
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schen Konzern und der Datenschutz- 
konferenz‘, dessen Ergebnis in Fach- 
kreisen mit Spannung erwartet wird. 

Während der in dieser Ausgabe für 
einen Artikel interviewte Thüringische 
Landesbeauftragte für Datenschutz und 
Informationsfreiheit auf den großen 
Kenntnisunterschied zwischen chine- 
sischen und deutschen Schülern hin- 
weist, was die Algorithmenkenntnisse 
angeht, eignet sich ein anderes Land 
eher für eine Vorbildrolle: So enthält 
der neue Entwurf des nationalen aust- 
ralischen Lehrplanes einen besonderen 
Schwerpunkt zur Ausbildung der Schü- 
ler in „Cybersecurity”°. Die Unterrichts- 
reihe beginnt schon bei den Fünfjäh- 
rigen und enthält genauere Vorgaben 
für die einzelnen Altersgruppen bis hin 
zur „late primary school” für elfjährige 
Schüler. Es fängt bei den Kleinsten an 
mit einer Sensibilisierung der Verwen- 
dung einfacher personenbezogenen 
Daten und geht bis zum Lernen des re- 
spektvollen Umgangs mit anderen Mei- 
nungen für die Elfjährigen. 

Neben dem Artikel zum Lock-In-Ef- 
fekt haben wir uns bei dieser Ausgabe 
noch eines zweiten Artikels aus der sehr 
lesenswerten heise.de-Artikelserie® mit 
freundlicher Genehmigung des Heise- 
Verlags wie auch der Autoren bedienen 
dürfen: Joachim Paul kommentiert das 
bundesweite Kuddelmuddel bei digi- 
talen Bildungsmedien für Schulen (ab 
Seite 94). 

Der Datenschutz ist schuld!’ Dieser 
Satz ist nicht neu. Er bleibt ärgerlich. 
Man hört ihn meist aus unberufenem 
Mund. Im Jahr 2 der Pandemie hört man 
ihn, wohl populistisch motiviert, wieder 
öfter. Zweifellos werden auch im schu- 
lischen Bereich Daten, auch besonders 
sensible Daten nach Art. 9 DSGVO, erho- 
ben. Dass das aber einer Kontrolle und 
eines Konzeptes bedarf, müsste sich von 
selbst verstehen. Wie wichtig der grund- 
rechtsbezogene Datenschutz ist, muss 
immer wieder neu erklärt werden. Dass 
Datenschutz kein Bildungshindernis in 
Pandemiezeiten ist, stellt Prof. Kugel- 
mann, der Landesbeauftragte für den 
Datenschutz und die Informationsfrei- 
heit Rheinland-Pfalz, in einem Artikel 
(ab Seite 70) fest. 

Denn „den Datenschutz aus Gründen 
medialer Effekthascherei kaputt zu re- 
den, ist brandgefährlich”. 


Einen Artikel des Bundesbeauftrag- 
ten? dazu finden Sie in diesem Heft (ab 
S. 99). Auch die Berliner Beauftragte für 
den Datenschutz und die Informations- 
freiheit hat sich zusammen mit ihrem 
Kollegen aus Rheinland-Pfalz zu diesem 
Thema geäußert”. 

Für den Schwerpunkt dieses Heftes 
sei abschließend ein Satz der Berliner 
Beauftragten zitiert: 

„Wenn gefordert wird, dass die Digi- 
talisierung der Schulen datenschutzge- 
recht erfolgen muss, dient das nicht der 
Verhinderung einer Digitalisierung der 
Schulen, sondern vielmehr einer nach- 
haltigen Entwicklung“. 


Soist es! 


1 Diskussionsgrundlage: Perspektiven des 
Lernens mit digitalen Medien an Schulen 
in Brandenburg, https://mbjs. 
brandenburg.de/media_fast/6288/19- 
21_anhang_diskussionsgrundlage_ 
digitalisierungsstrategie_schulen_ 
bb.pdf 


2 https://www.parlamentsdokumentation. 
brandenburg.de/starweb/LBB/ELVIS/ 
parladoku/w7/drs/ab_3500/3504.pdf 


3 Die Bedenken des Landesbeauftragten 
für Datenschutz, Stefan Brink, gegen die 
vom Kultusministerium geplante Nut- 
zung der Software Microsoft Office 365 
sind gravierender als bisher bekannt, 
https://www.badische-zeitung.de/ 
gravierende-bedenken-wegen- 
datenschutzes--201498263.html 


4 Im Interview mit Dr. Lutz Hasse, auf 
Seite 73 dieser DANA 


5 Schneier on Security, https://www. 
schneier.com/blog/archives/2021/05/ 
teaching-cybersecurity-to-children. 
html, posted on May 7th, 2021 


6 https://www.heise.de/hintergrund/ 
Schule-digital-Wie-ist-der-Status-Quo- 
Was-hat-sich-veraendert-5993043.html 


7 Wie es der Zufall so will, wurde einer der 
bekannteren Vertreter dieser ärger- 
lichen These am 11.06.2021 mit einem 
BigBrotherAward 2021 verdienterma- 
ßen geehrt: https://bigbrotherawards. 
de/2021/public-intellectual-julian- 
nida-ruemelin 


8 für den Datenschutz und die Informa- 
tionsfreiheit 


9 https://www.datenschutz-berlin. 
de/fileadmin/user_upload/pdf/ 
pressemitteilungen/2021/2021-BlnBDI- 
LfARLP-Standpunkt_Attacke_auf_ 
Datenschutz.pdf 
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Prof. Dieter Kugelmann 


Datenschutz als Bildungshindernis in Corona-Zeiten? 


Seit über einem Jahr prägt die Coro- 
na-Pandemie unser aller Leben. Neben 
tiefgreifenden Einschränkungen ist 
auch zu verzeichnen, dass die Digita- 
lisierung verstärkt Fahrt aufgenom- 
men hat. So hat das Homeschooling 
dazu geführt, dass digitale Lern- und 
Lehrmittel verstärkt genutzt werden 
mussten. Folgerichtig sind vielfältige 
Fragen des Datenschutzes in den Fokus 
gerückt worden. Immer mehr personen- 
bezogene Daten werden gesammelt, 
sei es bei der Kontaktnachverfolgung 
oder beim Nachweis der Befreiung von 
der Maskenpflicht; das informationelle 
Selbstbestimmungsrecht der Bürge- 
rinnen und Bürger steht zunehmend 
unter Druck. Dies betrifft insbesonde- 
re auch den Bildungsbereich und vor 
allem jüngere Menschen - Kinder und 
Jugendliche, die nunmehr auch im Un- 
terricht viel Zeit mit digitalen Anwen- 
dungen verbringen, aber oft auch von 
sich aus neue Angebote ausprobieren. 
Dabei ist zu beachten, dass es mit Blick 
auf Kinder bereits in der Datenschutz- 
Grundverordnung im Erwägungsgrund 
38 heißt: „Kinder verdienen bei ihren 
personenbezogenen Daten besonderen 
Schutz, da Kinder sich der betreffenden 
Risiken, Folgen und Garantien und ihrer 
Rechte bei der Verarbeitung personen- 
bezogener Daten möglicherweise weni- 
ger bewusst sind.” 

Nicht nur in Corona-Zeiten, aber an- 
getrieben durch die Pandemie gilt es 
daher, ein besonderes Augenmerk auf 
den Datenschutz von Minderjährigen 
zu legen und hierbei insbesondere die 
Möglichkeiten im Bildungsbereich zu 
erörtern. Anhand von drei Themenbe- 
reichen, die während der Pandemie gro- 
ße Aufmerksamkeit erfahren, soll dies 
hier geschehen: 


Schulunterricht von Zuhause 
Eine der zentralen Fragen ist, unter 
welchen Bedingungen und mit welchen 


digitalen Anwendungen ein daten- 
schutzkonformer Schulunterricht von 
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Zuhause möglich ist. Grundsätzlich gilt, 
dass sichergestellt sein muss, dass die 
Vertraulichkeit der Unterrichtssituati- 
on gegenüber Dritten gewährleistet ist. 
Dies gilt sowohl gegenüber dem Anbie- 
ter einer Software als auch gegenüber 
sonstigen Personen wie Familienange- 
hörigen oder Besucherinnen und Besu- 
chern beim Homeschooling. 

Unabhängig von der technischen 
Ausgestaltung eines Dienstes (zum 
Beispiel durch die Verwendung einer 
Ende-zu-Ende-Verschlüsselung) kann 
die Vertraulichkeit gegenüber einem 
Anbieter durch die weitestgehende Ver- 
meidung eines Personenbezuges herge- 
stellt werden. So können für Chaträume 
etwa Pseudonyme vereinbart werden. 
Als Ersatz zum Präsenzunterricht reicht 
möglicherweise in manchen Fällen der 
Stream einer Präsentation mit Audio- 
kommentar aus, ohne dass Schülerin- 
nen und Schüler oder auch das Lehrper- 
sonal zu sehen sind. Die Bereitstellung 
von Lehr- und Lernmaterial ohne Per- 
sonenbezug über öffentlich verfügbare 
Dienste, etwa über eine Homepage, ist 
in jedem Fall aus Datenschutzsicht sich 
als unkritisch zu bewerten. 

Die Schulen müssen beachten, dass 
zwischen ihnen und einem Dienstleis- 
ter ein Vertrag zur Auftragsverarbeitung 
abzuschließen ist und dass Eltern vorab 
über die Datenverarbeitungsvorgänge 
(insbesondere im Verhältnis zum An- 
bieter) informiert werden. Sofern die 
Schule personenbezogene Daten von 
Eltern oder Schülerinnen und Schülern 
verarbeiten möchte, für deren Verar- 
beitung nicht bereits ein gesetzlicher 
Erlaubnistatbestand existiert (etwa pri- 
vate E-Mail-Adressen), ist dies nur auf 
der Basis einer Einwilligungserklärung 
der Eltern zulässig. Schülerinnen und 
Schüler ab 16 Jahren können diese Ein- 
willigung selbst erteilen. In der Erklä- 
rung muss ein Hinweis darauf erfolgen, 
dass die Einwilligung freiwillig ist und 
Kinder keine Nachteile zu befürchten 
haben, wenn die Einwilligung nicht er- 
teilt wird. Außerdem hat eine Belehrung 


hinsichtlich der jederzeit bestehenden 
Widerrufsmöglichkeit zu erfolgen. 

Ein großer Diskussionspunkt ist der 
schulische Einsatz von Videokonferenz- 
systemen. Aus datenschutzrechtlicher 
Sicht ist hierbei der Einsatz von Soft- 
ware europäischer Anbieter, deren Ser- 
ver sich innerhalb des Geltungsbereichs 
der Datenschutz-Grundverordnung be- 
finden, vorzugswürdig. Aber auch Open- 
Source-Lösungen, die Schulen oder 
Schulträger unter vollständiger eigener 
Kontrolle auf eigenen Servern oder auf 
Servern von Auftragsverarbeitern mit 
Standort innerhalb des Geltungsbe- 
reichs der Datenschutz-Grundverord- 
nung betreiben, stellen eine Möglich- 
keit dar, den datenschutzkonformen 
Einsatz von Videokonferenzsystemen zu 
gewährleisten. 

Bei der Nutzung außereuropäischer 
Videokonferenzsysteme durch Schulen 
ergeben sich hingegen verschiedene da- 
tenschutzrechtliche Probleme. Es lässt 
sich in aller Regel nicht verhindern, 
dass derjenige oder diejenige, der oder 
die unter Einsatz eines Softwareproduk- 
tes eines außereuropäischen Anbieters 
chattet, videotelefoniert oder Doku- 
mente verschickt, beim Anbieter soge- 
nannte Telemetriedaten hinterlässt. Te- 
lemetriedaten sind Daten, die sich nicht 
auf den Inhalt der Kommunikation be- 
ziehen, sondern auf deren Begleitum- 
stände. Zu diesen gehören etwa die IP- 
Adresse, Informationen über die Dauer 
eines Gesprächs, Standortdaten und 
Angaben über das jeweilige Endgerät. 
Diese Daten werden dann an die Ser- 
ver des betreffenden Softwareanbieters 
übertragen, welche sich in aller Regel 
in sogenannten Drittländern befinden, 
also in Ländern, welche sich außerhalb 
des Geltungsbereichs der Datenschutz- 
Grundverordnung befinden. Solche 
Übertragungsvorgänge sind nur dann 
zulässig, wenn auch hierfür eine legi- 
timierende Rechtsgrundlage oder eine 
Einwilligung der betroffenen Personen 
vorliegt. Auf letztgenannte Möglichkeit 
können sich Schulen nicht berufen, 
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da die Datenschutz-Grundverordnung 
dies für den hoheitlichen Bereich aus- 
schließt. 

Besonders problematisch erweist sich 
seit dem Schrems-II-Urteil des Europäi- 
schen Gerichtshofs (EuGH) vom 16. Juli 
2020 die Übermittlung von personen- 
bezogenen Daten in die USA, da das Ge- 
richt in diesem Urteil den bis dahin be- 
stehenden Angemessenheitsbeschluss, 
den sogenannten Privacy Shield, für 
ungültig erklärt hat. Der Privacy Shield 
steht also nicht mehr als Grundlage für 
die Übermittlung personenbezogener 
Daten in die USA zur Verfügung, sodass 
Verantwortliche auf andere Transferins- 
trumente zurückgreifen müssen. 

Der Grund dafür ist vor allem darin zu 
sehen, dass Geheimdienste umfassen- 
de Zugriffsrechte auch auf Daten von 
Nicht-US-Bürgern haben, welche zum 
Beispiel bei der Nutzung von Software 
US-amerikanischer Anbieter auf de- 
ren Servern angehäuft wurden. Ihnen 
steht im Gegensatz zu US-Bürgern kein 
gerichtlicher Rechtsschutz gegen sol- 
che Maßnahmen zur Verfügung, um zu 
überprüfen ob und welche ihrer Daten 
gespeichert oder gar „durchleuchtet“ 
wurden. Dies betrifft eben auch Schüle- 
rinnen und Schüler, wenn sie zu Unter- 
richtszwecken beispielsweise Videokon- 
ferenzen durchführen. 

Überhaupt sind viele Datenverar- 
beitungsprozesse bei US-Anbietern 
intransparent. Es ist etwa unklar und 
grenzt an Geheimniskrämerei, ob die 
Daten vom jeweiligen Anbieter auch 
für eigene Zwecke, etwa Werbezwecke, 
verwendet werden. Falls die jeweiligen 
Anbieter den Inhalt von Videokonferen- 
zen zur Kenntnis nehmen oder gar spei- 
chern, eröffnet dies ein unüberschauba- 
res Missbrauchspotenzial. 

Im Ergebnis ist es für Schulen derzeit 
kaum noch möglich, rechtssicher An- 
bieter zu nutzen, bei denen Daten in 
die USA abfließen, da ihnen für die Da- 
tenübertragung faktisch keine Rechts- 
grundlage zur Verfügung steht. Auch 
können die Schulen kaum ihrer nach 
der Datenschutz-Grundverordnung be- 
stehenden Pflicht nachkommen, die 
Schülerinnen und Schüler zu informie- 
ren, was mit den erhobenen Daten pas- 
siert, denn aufgrund der Intransparenz 
der US-Anbieter und der unsicheren 
Rechtslage dort können die Lehrerin- 
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nen und Lehrer dies regelmäßig selbst 
nicht abschätzen. 

Mit Blick auf die gegenwärtige pan- 
demiebedingte Ausnahmesituation 
halte ich die vorübergehende Nutzung 
amerikanischer Videokonferenzsysteme 
daher nur dann für hinnehmbar, wenn 
folgende (hier auf Rheinland-Pfalz be- 
zogene) Punkte beachtet werden: 


« Bereits eingesetzte Lösungen US- 
amerikanischer Anbieter müssen auf 
schuleigenen Systemen betrieben 
werden oder es müssen, bei Inan- 
spruchnahme eines Dienstleisters 
im Rahmen einer Auftragsverarbei- 
tung gemäß Artikel 28 Datenschutz- 
Grundverordnung, die Konferenz- 
daten auf Systemen deutscher oder 
europäischer Anbieter verarbeitet 
werden. Zudem müssen die Lösungen 
datensparsam konfiguriert und mit 
von der Schule vergebenen, pseud- 
onymisierten Zugangsdaten genutzt 
werden. Es muss eine Verwendung 
der Nutzungsdaten für Werbezwecke 
vertraglich ausgeschlossen werden 
($ 103 Übergreifende Schulordnung 
Rheinland-Pfalz). 


Die Nutzerinnen und Nutzer müs- 
sen gemäß Artikel 13 Datenschutz- 
Grundverordnung informiert werden. 


Auf die in 8 1 Absatz 6 Schulgesetz 
Rheinland-Pfalz vorgesehene Mög- 
lichkeit, eine verbindliche Nutzung 
digitaler Lehr- und Lernmittel vor- 
zusehen, ist von den Schulen zu ver- 
zichten. Wenn Eltern, Schülerinnen 
oder Schüler einer Nutzung amerika- 
nischer Softwareprodukte ausdrück- 
lich widersprechen, müssen von Sei- 
ten der Schule und der zuständigen 
Lehrkraft äquivalente Lehrangebote 
zur Verfügung gestellt werden. 


Meine Behörde hat mit Blick auf die 
Datenschutz-Herausforderungen zum 
Einsatz von Videokonferenzsystemen 
an Schulen mittlerweile verschiedene 
Erfahrungen gesammelt: Aus unserer 
Sicht ist es am sinnvollsten, wenn nicht 
jede Schule für sich selbst ein Videokon- 
ferenzsystem anschafft, konfiguriert 
und einsetzt. Weniger aufwändig und 
datenschutzrechtlich sichererist es, auf 
landeseinheitliche Systeme zu setzen, 


die von den jeweiligen Bildungsminis- 
terien zur Verfügung gestellt werden. 
In Rheinland-Pfalz hat sich etwa Big 
Blue Button (BBB), das auf Servern der 
Johannes Gutenberg-Universität Mainz 
gehostet wird, bewährt. 


Gesundheitsdatenschutz an Schulen 


Eine andere zentrale Fragestellung 
ist, wie Schulen mit Gesundheitsdaten 
umgehen. Im Jahr 2020 hat uns ver- 
stärkt beschäftigt, welche Informatio- 
nen auf Attesten vermerkt sein müssen, 
die Schülerinnen und Schüler vorlegen, 
um keinen Mund-Nasen-Schutz tragen 
zu müssen. Wir haben darauf gedrängt, 
dass angesichts der besonderen Sensibi- 
lität von Gesundheitsdaten der Gesetz- 
oder Verordnungsgeber normenklar 
regelt, ob etwa Diagnosen auf den At- 
testen vermerkt sein müssen. In Rhein- 
land-Pfalz ist die Landesregierung dem 
nachgekommen: Sie hat in der Corona- 
Bekämpfungsverordnung nunmehr für 
den Schulbereich den Umfang der Da- 
tenanforderung bei ärztlichen Attesten 
von Schülerinnen und Schülern und 
das Verbot der Anfertigung von Kopien 
ausdrücklich geregelt. Dies belegt aus 
meiner Sicht, dass das Recht auf infor- 
mationelle Selbstbestimmung durchaus 
als gleichrangig mit anderen Grund- 
rechten, wie dem Recht auf körperliche 
Unversehrtheit einschließlich der Ge- 
sundheit, angesehen werden kann. 

Wenn Schülerinnen und Schüler in 
Präsenz unterrichtet werden, stellen 
sich zwei zentrale Fragen: Dürfen Schü- 
lerinnen und Schüler in den Schulen 
getestet werden? Wie ist mit den Tester- 
gebnissen umzugehen? Beides stellt in 
der Betrachtung des Alters der Kinder, 
der räumlichen Umsetzung sowie der 
Begleitung durch medizinisches Fach- 
personal oder Lehrkräfte auch organisa- 
torische und pädagogische Anforderun- 
gen an die jeweiligen Schulen. 

Mit Blick auf Corona-Tests an Schulen 
ist zunächst zu unterscheiden, ob diese 
verpflichtend oder freiwillig durchge- 
führt werden. Wenn die Teilnahme auf 
freiwilliger Basis erfolgt, also nicht Vo- 
raussetzung für den Unterrichtsbesuch 
ist und keine weiteren Folgen an eine 
nicht erfolgte Testung geknüpft werden, 
stellt die Einwilligung die Rechtsgrund- 
lage für die mit der Testung einherge- 
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henden Datenverarbeitungsvorgänge 
dar. Datenschutzrechtlich ist dies aus 
meiner Sicht nicht weiter problema- 
tisch. 

Sollte der Schulbesuch nur gestat- 
tet sein, wenn eine Schülerin oder ein 
Schüler zuvor getestet worden ist, wenn 
also eine Testpflicht besteht, bedarf 
dies einer rechtlichen Grundlage. Diese 
kann sich unmittelbar aus Artikel 6 Ab- 
satz 1 Datenschutz-Grundverordnung 
in Verbindung mit konkretisierenden 
landesrechtlichen Regelungen der Coro- 
na-Bekämpfungsverordnung ergeben. 
Auch dann ist abzuwägen, ob eine Tes- 
tung in der Schule erfolgen muss oder 
ob Selbsttests im häuslichen Umfeld 
oder in entsprechenden Teststationen 
und Apotheken als datenschutzkonfor- 
mere Alternative in Frage kommen. 

Bei Personen, die an Corona infiziert 
sind oder positiv getestet wurden, stellt 
sich die Frage, ob deren Namen anderen 
Schülerinnen und Schülern oder Lehr- 
kräften gegenüber bekannt geben wer- 
den dürfen. Aus Gründen des Gesund- 
heitsdatenschutzes sollte grundsätzlich 
keine Namensnennung erfolgen; zuläs- 
sig ist aber die allgemeine und anonymi- 
sierte Nennung des Verdachtsfalls. Aus 
Fürsorgegründen zum Schutz von Risi- 
kogruppen oder wenn dies auf Bitte des 
Gesundheitsamtes für die Kontaktver- 
folgung erforderlich sein sollte, ist auch 
eine schulinterne Bekanntgabe unter 
namentlicher Nennung denkbar. 


Der Nutzungsboom von Social Media 
und Messenger-Diensten 


Bereits seit Längerem und auch be- 
reits vor der Corona-Pandemie haben 
Schülerinnen und Schüler in ihrer Frei- 
zeit und zum Erledigen von schulischen 
Aufgaben immer häufiger und immer 
länger Social-Media-Angebote und 
Messenger-Dienste genutzt. Es ist seit 
Jahren ein Nutzungsboom von Web-2.0- 
Angeboten (Social Communities, In- 
stant Messenger, Youtube, Wikipedia 
und anderen) zu verzeichnen. Neu 
hinzugekommen ist, dass zum Home- 
schooling viele dieser Dienste nun auch 
unterrichtlich und zur Kommunikation 
zwischen Schule und Lernenden sowie 
deren Eltern eingesetzt werden. Neben 
den Hausaufgaben via Messenger und 
Klassenchat oder Selbstlernen mittels 
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Youtube-Tutorial erfolgt nun auch der 
Austausch mit den Mitschülerinnen 
und Mitschülern und das gemeinsame 
Bearbeiten einer Gruppenaufgabe digi- 
tal und online über darauf spezialisierte 
Anbieter. Angesichts dessen gewinnt 
die digitale Bildung immer mehr an 
Bedeutung. Das Ziel aller Bildungsak- 
teure sollte daher sein, dass die jungen 
Onliner und deren Eltern sensibilisiert 
werden, auf was sie bei der Nutzung 
von Web-2.0-Angeboten achten sollten. 
Folgende Fragen müssen dabei thema- 
tisiert und beantwortet werden: Welche 
Gefahren lauern im Netz? Wie sieht eine 
effektive digitale Selbstverteidigung 
aus? Welche Rechte können wem ge- 
genüber geltend gemacht werden? Wie 
funktioniert das Geschäft mit Daten? 
An welchen Stellschrauben können und 
sollen Institutionen wie Schulen dre- 
hen, um den Datenschutz von Kindern 
und Jugendlichen zu verbessern? 

Als Kooperationspartner des Landes- 
programms „Medienkompetenz macht 
Schule” leisten wir seit über zehn Jah- 
ren einen Beitrag zur digitalen Bildung 
in Rheinland-Pfalz. Als Teil dieses Pro- 
gramms veranstalten wir beispielswei- 
se seit dem Jahr 2010 Schülerwork- 
shops im ganzen Land, um Kinder und 
Jugendliche ab der dritten Klasse für 
einen sparsamen Umgang mit ihren Da- 
ten im Netz und mögliche Gefahren bei 
der alltäglichen Nutzung von Smart- 
phone und Tablet zu sensibilisieren. 
Dieses Workshop-Programm haben wir 
durch Corona angepasst, denn auch 
ohne Präsenzunterricht müssen diese 
Inhalte auf anderen Wegen ihre Ziel- 
gruppe erreichen. Die Referentinnen 
und Referenten führen die Workshops 
daher inzwischen an einigen Schulen 
bereits als Online-Veranstaltungen 
durch, arbeiten didaktisch mit Online- 
Tools und thematisieren natürlich 
auch die neuen Lernumgebungen mit 
den Schülerinnen und Schülern. Dabei 
zeigt sich, dass sich rund um Online- 
Unterricht an den unterschiedlichen 
Schulen noch viele Fragen um die Ver- 
arbeitung von Daten stellen - sei es zur 
Wahl der Lernplattform oder die Frage, 
ob sich die Schülerinnen und Schüler 
vor der Kamera zeigen sollen und wie 
mit Störerinnen, Störern und Online- 
Trollen in der Videokonferenz umge- 
gangen werden muss. 


In Kooperation mit der Verbraucher- 
zentrale bieten wir darüber hinaus EI- 
ternabende in Kitas an, um die Eltern 
möglichst früh auf die neuen digitalen 
Herausforderungen vorzubereiten. 

Mit www.youngdata.de hat meine Be- 
hörde im Jahr 2013 speziell für Jugend- 
liche eine Datenschutzseite entwickelt, 
die zwischenzeitlich als gemeinsame 
Jugendseite aller Datenschutzauf- 
sichtsbehörden in Deutschland und des 
Kantons Zürich zielgruppengerechte 
Aufklärung im Bereich Datenschutz an- 
bietet. Diese Seite werden wir im Laufe 
des Jahres komplett überarbeiten und 
optisch-funktional sowie auch inhalt- 
lich noch stärker auf die Zielgruppe Ju- 
gendliche anpassen. 

Aus Sicht des LfDI zeigt der Nutzungs- 
boom, dass politische, staatliche und 
zivilgesellschaftliche Institutionen, 
Stellen und Vereine einen noch stärke- 
ren Fokus auf die Medienbildung set- 
zen sollten. Schülerinnen und Schüler 
sollen soweit wie möglich eine digitale 
Selbstständigkeit erlangen also lernen 
selbstständig IT-Produkte zu bewerten 
und auszuwählen. Das Ziel muss sein: 
Sie sollen die Hoheit über ihre Daten so 
weit wie möglich selbst ausüben. Sofern 
Bildungseinrichtungen auf Open-Sour- 
ce-Software wie Big Blue Button set- 
zen, fördern sie damit auch die digitale 
Selbstständigkeit, Kreativität und Viel- 
seitigkeit. Dies gilt in Pandemie-Zeiten, 
aber auch darüber hinaus. 


Ausblick 


Zusammenfassend kann festgehalten 
werden, dass die Pandemie den Daten- 
schutz einem Stresstest unterzogen hat. 
Zum Teil ist die Debatte um die richtigen 
Maßnahmen gegen das Virus mit Blick 
auf den Datenschutz unsachlich und ir- 
rational geführt worden. 

Allerdings ist es Deutschland bis- 
her gut gelungen, auch in der Krise die 
Grundrechte nicht über Bord zu wer- 
fen und eine ausgewogene Abwägung 
zu treffen, ob und in welchen Fällen es 
notwendig ist, ein Grundrecht zu Guns- 
ten eines anderen einzuschränken. Dass 
die Entscheidungsträgerinnen und Ent- 
scheidungsträger es sich damit nicht 
leichtmachen, ist gut so, denn diese 
Anforderung stellt ein freiheitlicher 
Rechtsstaat auch und gerade in Krisen- 
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zeiten. Dies sollten wir uns immer wieder 
bewusst machen. Ein angemessener Da- 
tenschutz darf dem Virus nicht zum Opfer 
fallen. Wir müssen den Datenschutz mit 
Vertrauen in sein differenziertes Funkti- 


onieren ausstatten und ihn vor haltlosen 
und pauschalisierenden Attacken schüt- 
zen. Menschen lassen sich aufneue Tech- 
nologien eher ein, wenn sie Vertrauen 
haben, dass ihre Rechte und Freiheiten 


Die Redaktion im Gespräch mit Dr. Lutz Hasse 


gewahrt bleiben. Als Gesellschaft sollten 
wir seine wichtige Bedeutung anerken- 
nen: Der Datenschutz ist kein Verhinde- 
rer, sondern ein wichtiger Regulator und 
Steuerungsfaktor. 


Die Grundrechte dürfen nicht unter die Räder kommen! 


Lutz Hasse ist im Jahr 2012 zum Thü- 
ringer Landesbeauftragten für den Da- 
tenschutz und die Informationsfreiheit 
(TLfDI) bestellt und 2018 wiedergewählt 
worden. Ihn zu einem Gespräch zu bitten 
lag nah, da Herr Hasse die Arbeitskreise 
„Schulen und Bildungseinrichtungen” 
sowie „Datenschutz- / Medienkompe- 
tenz” der Datenschutzkonferenz der un- 
abhängigen Datenschutzbeauftragten 
des Bundes und der Länder (DSK) leitet. 

Insoweit war es besonders interes- 
sant, seine Meinung zum Themenkom- 
plex Datenschutz und Digitalisierung in 
der Bildung zu erfragen. 

Frank Spaeing, Riko Pieper und Mar- 
kus Eßfeld führten das Gespräch am 
07.05.2021. Hier werden die Kernaussa- 
gen des Thüringer Landesbeauftragten 
wiedergegeben.' 


Aufgabe und Rolle der Landesdaten- 
schutzbeauftragten 


In Deutschland gibt es insgesamt 18 
unabhängige Datenschutzaufsichtsbe- 
hörden, da Bayern zwei und der Bund 
eine eigene Aufsichtsbehörde jeweils 
für ihre Zuständigkeitsbereiche haben 
sowie je eine Aufsichtsbehörde für die 
anderen Bundesländer. 

Kernzuständigkeit ist es darauf zu 
achten, dass das Grundrecht der in- 
formationellen Selbstbestimmung ge- 
schützt wird. Die jeweilige Leitung der 
Aufsichtsbehörden ist Mitglied der Da- 
tenschutzkonferenz. Die Mehrheit der 
Mitglieder hat einen juristischen Aus- 
bildungshintergrund. Die Meinungen 
gingen manchmal auseinander; das 
Bemühen um einen Konsens sei aus- 
geprägt. Ein gutes Beispiel sei die Task 
Force Schrems II, so genannt nach dem 
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bekannten Urteil des Europäischen Ge- 
richtshofs (EuGH). Der EuGH hat den 
Aufsichtsbehörden ins Hausaufgaben- 
heft geschrieben, dass das Urteil zum in- 
ternationalen Datentransfer (sogenann- 
tes Schrems-Il-Urteil) umzusetzen sei. 
Infolgedessen hat die Datenschutzkon- 
ferenz die Task Force Schrems II ins Le- 
ben gerufen, der auch Hasse angehört. 

Dabei gehe es insbesondere darum, 
eine einheitliche Haltung der Aufsichts- 
behörden herauszuarbeiten, etwa zu 
Datentransfers in die USA oder um die 
Rechtmäßigkeit der Nutzung von Soft- 
ware aus dem Hause Microsoft sicher- 
zustellen, indem mit Microsoft Verhand- 
lungen geführt werden. 

Eine wichtige Aufgabe des TLfDI ist es 
außerdem pro Jahr ca. 26.000 Postein- 
gänge von Bürgern, Institutionen, Be- 
hörden und Unternehmen zum Thema 
Datenschutz zu bearbeiten. 

Die Zusammenarbeit mit den Auf- 
sichtsbehörden anderer Bundesländer 
funktioniere in der Regel recht gut. Al- 
lerdings gebe es - bezogen auf den schu- 
lischen Bereich - keine durchweg gute 
Zusammenarbeit mit Kultusbehörden. 

In Thüringen setze der TLfDI daher als 
oberste Datenschutzaufsichtsbehörde 
die Maßnahmen durch, die zum Grund- 
rechtsschutz notwendig seien, auch 
wenn das nicht immer die Zustimmung 
des Kultusministeriums finde. 

Als Beispiel aus dem schulischen Be- 
reich nannte Hasse die Testung der Schü- 
ler auf Covid-19. Das sei eine Erhebung 
von Kinder-Gesundheitsdaten, die beson- 
ders schützenswert sind und daher den 
Einsatz des Landesbeauftragten erfordere. 

Wenn der Hauptgeschäftsführer der 
bitkom, Bernhard Rohleder, behaupte, 
Datenschützer jagten einem Phantom 


hinterher, so müsse dies als abwegig be- 
zeichnet werden. 

Diein den jährlichen Tätigkeitsberich- 
ten von den Landes- und dem Bundes- 
beauftragten dargelegten zahlreichen 
Datenschutzverstöße, die nicht weniger 
zahlreichen Datenschutzskandale sowie 
die z. B. von Michal Kosinsky? gerade 
in den USA ermöglichten Profilbildun- 
gen und Verhaltensprognosen anhand 
von Aktivitäten in Sozialen Netzwerken 
sprechen deutlich eine andere Sprache. 


Tätigkeit der Landesbeauftragten im 
schulischen Bereich 


Vor dem Hintergrund des Schrems- 
II-Urteils kann die Nutzung von 
Microsoft 365 in den Schulen rechtswid- 
rig sein. Teilnehmer der DSK sehen das 
unterschiedlich streng. 

Hasse selbst hält es für möglich in 
Verhandlungen mit Microsoft vielleicht 
noch einen rechtskonformen Zustand 
erreichen zu können. Die DSK habe zur 
Klärung der amerikanischen Rechtssi- 
tuation ein Gutachten in Auftrag gege- 
ben, das den Fortlauf der Verhandlun- 
gen unterstützen bzw. begleiten soll. 
In jedem Fall sei es nicht Aufgabe der 
Schulen personenbezogene Daten in 
die USA zu liefern, was aber bei derzei- 
tiger Nutzungspraxis von beispielsweise 
Microsoft-365-Produkten die Realität 
darstelle. Die DSK wird dann entschei- 
den, welche Maßnahmen nötig sind. 
Microsoft will Server-Farmen in Europa 
bauen, um die Situation zu entschärfen. 
Letztlich nütze das aber wenig, weil US- 
Behörden auch Zugriff auf europäische 
Server von Microsoft haben. Man müs- 
se abwarten, ob juristische Konstrukte 
derartige Zugriffe vermeiden können. 
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Vorbehaltlich der erwähnten Ent- 
wicklungen möchte Hasse derzeit noch 
keine abschließende Stellungnahme 
abgeben. 

Die DSK gebe abstrakte Hinweise zu 
Messenger-Diensten und Videokonfe- 
renz-Tools. Dass Schulleitungen daten- 
schutzrechtlich Verantwortliche seien, 
sei nicht hilfreich, da in der Schule Täti- 
ge die datenschutzrechtlichen Fragestel- 
lungen mangels entsprechender Ausbil- 
dung kaum beantworten könnten. 

Die kursorische Einschätzung einer 
Schul-App koste einen Informatiker sei- 
ner Behörde etwa einen Arbeitstag. Auf 
dieser Grundlage sind Thüringer Schulen 
mittlerweile durch seine Aufsichtsbe- 
hörde über 45 Apps informiert worden. 
Es gebe zudem eine Videokonferenz- 
Reihe. Zu jeder Konferenz werden 20 bis 
30 Schulleiter geladen; sie würden zu 
Schuldatenschutzfragen informiert und 
anschließend würden Datenschutzpro- 
bleme diskutiert. Alles wird verschriftet 
und als FAQs ins Netz gestellt. Die Fragen 
zu den zu prüfenden Apps wiederholten 
sich mittlerweile, da habe man für die 
Schulleitungen inzwischen einen guten 
Grundstock erarbeitet. 

Der Rufnach einem „App-TÜV” werde 
immer lauter, auch aus der Wirtschaft. 
Das sei auch absolut nachvollziehbar. 
Allerdings gebe es hier einige rechtli- 
che und tatsächliche Hindernisse, an 
deren politischer Bewältigung er an 
vielen Stelle mitwirke. 

Modellhaft etwa sei die Schul-Cloud 
des Hasso-Plattner-Instituts, Pots- 
dam, entwickelt worden, nämlich 
unter Mitwirkung der Datenschutz- 
aufsichtsbehörden. Dieses rechtzei- 
tige Ziehen an einem Strang, um ein 
datenschutzkonformes Produkt zu 
entwickeln, sollte Schule machen. Pri- 
vacy made in Germany sieht Hasse als 
Standortvorteil. 

Insgesamt sei festzustellen, dass die 
Zusammenarbeit mit Schulen, Schülern 
und Eltern im Laufe der Zeit besser wer- 
de. Die Bedeutung des Grundrechts auf 
informationelle Selbstbestimmung wird 
zunehmend richtig eingeordnet. 


Medienkunde-Unterricht 
Das Bild ist eher düster. Die TU Ilme- 


nau habe 2018 festgestellt, dass der 
Medienkunde-Unterricht in Thüringen 
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stark defizitär sei. Eine entsprechende 
Ausbildung von Studenten und Refe- 
rendaren fand überhaupt nicht statt. 
Heute hat sich zwar die Lehrerfortbil- 
dung verbessert, nicht genügend aber 
die Situation der Lehrerausbildung an 
den Hochschulen. Es fehle an Strategie 
und Systematik. Man müsse endlich an- 
fangen! An der Basis wirkten sich Ver- 
besserungen ohnehin erst in sechs bis 
acht Jahren aus. Man könne z. B. neue 
Lehrstühle schaffen. Es werfe Fragen 
auf, dass in der Volksrepublik China be- 
reits Kita-Kinder Algorithmen program- 
mieren können und in Deutschland 
nicht einmal Studenten diese Fähigkeit 
besäßen. 

Auch die Evaluation der Lehrpläne 
sieht Hasse kritisch. Wenn man wirklich 
für das Leben und nicht für die Schule 
lerne, müsste im digitalen Zeitalter die 
ständige Fortentwicklung der Lehrpläne 
etwas Selbstverständliches sein. Und 
ja: Dafür könnten dann auch andere 
Lehrinhalte wegfallen. 

Wenn behauptet werde, der Daten- 
schutz hindere die Bildung, so sei dies 
einmal mehr blanker Unsinn. Tatsäch- 
lich würden viele Eltern dem TLfDI für 
seine Tätigkeit danken, auch im Zu- 
sammenhang mit dem oben erwähnten 
Datenerhebungsverfahren im Zusam- 
menhang mit Covid-19, aber auch im 
Zusammenhang mit der schulischen 
Nutzung dubioser Videokonferenz- 
Systeme. 


Verwendung von WhatApp 


Die Verwendung von WhatsApp an 
Schulen in Thüringen ist verboten. Das 
Verbot wurde gemeinsam mit dem Kul- 
tusministerium ausgesprochen. 


Tätigkeit des Arbeitskreises Schule, 
insbesondere Verhandlungen mit 
den Schulbuchverlagen 


Auch mit den Schulbuchverlagen 
wurde und wird datenschutzrechtlich 
Relevantes erörtert. „Da sind wir noch 
nicht am Ende.” Wenn ein Schüler sich 
beispielsweise bei der Hausaufgabener- 
ledigung auf der Internet-Seite eines 
Verlages einlogge, würden sich Fragen 
stellen: Wie sind die Datenflüsse? Wel- 
che Daten werden erhoben? Was wissen 
die Verlage? Deswegen rede man mit 


den Verlagen und gemeinsam mit vielen 
Akteuren arbeite man an praktischen 
Lösungen. 


Profiling 


Art. 22 DSGVO treffe hier zwar Rege- 
lungen, die jedoch unzureichend seien. 

Eine Regelung im BDSG, wonach eine 
Datenverarbeitung zum Zwecke eines 
Profilings meldepflichtig wäre, wäre 
sinnvoll, zumal es hier oft um Daten 
gehe, die wesentlich neuralgischer sei- 
en als diejenigen, die etwa bei der Nut- 
zung von Videokameras anfielen. Auf 
diese Weise informierte Aufsichtsbehör- 
den könnten dann gezielt prüfen, ob der 
Grundrechtsschutz eingehalten werde 
oder nicht. 


Welche Medien werden zur Ver- 
mittlung von Wissen durch Schulen 
genutzt - gibt es Alternativen zu 
Youtube? 


Youtube hat einen enormen An- 
teil am Unterrichtsgeschehen. Im AK 
Schule wird dieses Thema gerade erör- 
tert. Zweifellos gebe es Datenabflüsse 
zu Youtube. Es sei, wie gesagt, nicht 
Aufgabe der Schulen Metadaten der 
Schüler in die USA abfließen zu lassen. 
Hinzu komme das Problem, dass Lehrer 
und Schüler häufig mit privater Com- 
puterausrüstung arbeiten müssten. 
Eigentlich müsste nach thüringischer 
Rechtslage der Lehrer dann vorab die 
Schulleitung fragen, ob er private Ge- 
räte im schulischen Kontext mit US- 
amerikanischer Software nutzen dürfe. 
Das müsste die Schulleitung dann ei- 
gentlich untersagen. Die Realität sehe 
aber wohl anders aus. 

Überlegenswert erscheint Hasse der 
länderübergreifende Zugriff aller Lehrer 
auf die digitalen Lehrangebote aller an- 
deren Bundesländer. 

Hasse hat dies zum Thema in dem von 
ihm betreuten Arbeitskreis der DSK ge- 
macht. 


Planung der nächsten Jahre im Be- 
reich „Bildung und Schule” 


„Wir gehen nicht zurück auf Los.” Nach 
der Pandemie sei es nicht wie vor der 
Pandemie. Digitalisierung und Schu- 
le werden keine Gegensätze mehr sein. 
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Auch virtuelle Realität und Künstliche 
Intelligenz sind dann irgendwann keine 
Fremdworte mehr für Schüler und Lehrer. 

Die Landesbeauftragten sollten in 
diesem Entwicklungsprozess nicht nur 
als Aufsichtsbehörde gesehen werden, 
sondern gerade auch als Berater für alle 
sowie als Bündnispartner für Bildungs- 
anbieter in Deutschland. „Daran werde 
ich weiter intensiv arbeiten.” 

Ausbildung in Sachen Datenschutz 
muss verpflichtend in die Ausbildungs- 
pläne für Lehrerreferendare aufgenom- 
men werden. 

Die Rolle der Kultusministerkonferenz 
mit ihren verbindlichen Strategiepapie- 
ren sollte nach Hasses Ansicht gestärkt 
werden - ein langer Weg. 


Wie kommen die Aufsichtsbehörden 
ihrem Auftrag zur Sensibilisierung 
nach 8 57 Abs. 1 Nr. 2 DSGVO nach? 


Konkret hält Hasse (wie auch manche 
seiner Mitarbeiter) auf konkrete Einla- 
dung oder Initiative Anderer hin Vor- 
träge zu Datenschutzthemen. Was vom 
TLfDI angeboten und auch regelmäßig 
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angenommen wird, ist das Angebot von 
Praktika für Mitarbeiter von politischen 
Fraktionen. Auch Vorträge vor Fraktio- 
nen werden regelmäßig gehalten. 

Als gesuchter Gesprächspartner von 
Medien transportiert Hasse aktuelle da- 
tenschutzrechtliche Themen, etwa zur 
Luca-App, Digitalisierung in der Schule, 
Covid-Daten im Schulbereich, usw. 

Die Homepage des TLfDI enthält zahl- 
reiche Hinweise, Links, Muster und Ori- 
entierungshilfen zur DSGVO allgemein 
oder auch speziell, z. B. für Schulen? und 
Unternehmen. Sehr gefragt ist seine Bro- 
schüre „Digitale Selbstverteidigung”“. 

Auch FAQ-Kataloge im schulischen 
und im unternehmerischen Bereich 
tragen zur Sensibilisierung bei, ebenso 
wie Vorträge in Schulen oder bei Indus- 
trie- und Handelskammern. Speziell für 
Schulen hat der TLfDI eine eigene Me- 
diathek entwickelt, die Lehrangebote 
für Lehrer enthält, gegliedert nach den 
verschiedenen Klassenstufen. 

Auch ein mit Hilfe der TU Ilmenau 
produziertes eigenes Lehrvideo zum 
Datenschutz erfüllt seine Funktion. 
Nachgefragt sind zudem die schulischen 
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Fortbildungsveranstaltungen des TLfDI, 
z. B. zur Verschlüsselung oder Smart- 
phone-Konfigurierung. Die stark nach- 
gefragten Videokonferenzen mit den 
Schulleitungen zum Thema Schuldaten- 
schutz wurden bereits erwähnt. An der 
Universität Jena hält Hasse Vorlesungen 
zum Datenschutz - unentgeltlich. 

Hasse: „Unsere Öffentlichkeitsarbeit 
brummt, der Datenschutz ist inzwi- 
schen in Thüringen angekommen und 
die BürgerInnen wissen um die Bedeu- 
tung des Schutzes ihrer Privatsphäre 
und dass der TLfDI schlagkräftig an ihrer 
Seite steht.” 


1 Die Verwendung männlicher Sprache 
erfolgt im Interesse von Klarheit, Kürze 
und Einfachheit verbunden mit der 
Bitte, nicht das grammatische Maskuli- 
num auf das biologische Geschlecht zu 
reduzieren. Zitate wurden jedoch nicht 
verändert. 


Bild: L... 
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Jessica Wawrzyniak 


Datenschutzfreundlicher Unterricht 


Wo hakt es und welche guten Lösungen gibt es? 


Ausgangslage 


Die Wahl einer geeigneten digitalen 
Unterrichtsplattform war auch schon 
vor der Corona-Pandemie ein umstrit- 
tenes Thema. Doch der Zwang zum 
Fernunterricht und der quantitativ 
gestiegene Einsatz digitaler Werkzeu- 
ge zeigte schnell, wer in den letzten 
Jahren bereits in den Ausbau digitaler 
Bildung investiert hat, und wo die Di- 
gitalisierung von Schulen samt daten- 
schutzrechtlicher Überlegungen eher 
stiefmütterlich behandelt wurde. Und 
mitten in diese Diskussion platzten 
im März 2020 die Schulschließungen 
durch die Corona-Pandemie. Hektisch 
wurden auf Städte- und Landesebenen 
Lizenzen für Videokonferenz-Program- 
me wie Zoom oder Microsoft-Teams 
eingekauft und zur Verfügung gestellt. 
Zusätzlich wurden Dateiablagen bei 
Google Docs eingerichtet, Elternge- 
spräche in Messenger wie WhatsApp 
ausgelagert oder auf umfassende di- 
gitale Unterrichtsumgebungen zu- 
rückgegriffen, wie Microsoft 365 oder 
Googles „G Suite for Education” (um 
nur einige kritische Beispiele zu nen- 
nen)‘. Dass diese Softwarelösungen 
etliche Schüler.innendaten sammeln 
und datenschutzrechtlich bedenklich 
sind, ist kein Geheimnis. Zur Beruhi- 
gung hieß es, dies seien Übergangslö- 
sungen und langfristig wurden geeig- 
netere Programmein Aussicht gestellt. 
Doch letztere lassen auch nach über 
einem Jahr Distanzunterricht, und 
eigentlich seit zwanzig Jahren, noch 
immer auf sich warten - aus verschie- 
denen Gründen. 

Jessica Wawrzyniak, Medienpädago- 
gin im Verein Digitalcourage, erklärt, 
welche Hürden auf verschiedenen Ebe- 
nen die Umsetzung von datenschutz- 
freundlichem Unterricht erschweren, 
worauf es bei der Wahl von Schulsoft- 
ware ankommt und welche Alternati- 
ven bereits zur Verfügung stehen. 
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Die Rolle der Schülerinnen 
und Schüler 


Datenschutzfreundlicher Unterricht 
wird zunehmend als Politikum behan- 
delt, sodass der Kern des Themas in den 
Hintergrund gerät: Der Schutz von Kin- 
dern. Ihre Daten sind als wertvolles Gut 
zu betrachten, das vor wirtschaftlicher 
Ausbeutung geschützt werden muss, so 
legt es auch das Gesetz fest (ErwGr. 38 
DSGVO). Die Erziehungspflicht von EI- 
tern sowie der freiheitlich-demokrati- 
sche Bildungsauftrag von Schulen sol- 
len Kinder und Jugendliche aufdem Weg 
zur digitalen Mündigkeit unterstützen: 
Das Ziel sollte selbstbestimmtes, reflek- 
tiertes und eigenverantwortliches Han- 
deln in der zunehmend digitalisierten 
Welt sein. Für Schülerinnen und Schüler 
ist es eine Lernaufgabe zu verstehen, 
welchen Wert ihre privaten Daten ha- 
ben, in der Schule und in ihrer digitalen 
Freizeitgestaltung. Sie überblicken das 
große Ganze (z.B. wirtschaftliche und 
gesellschaftliche Zusammenhänge) erst 
mit steigendem Alter. Die Einschätzung, 
ob und wenn ja, welche Daten von ihnen 
verarbeitet werden dürfen, wird ihnen 
laut der Datenschutz-Grundverordnung 
erst ab 16 Jahren selbstbestimmt zu- 
gemessen (Art. 8 DSGVO) - vorher ent- 
scheiden i.d.R. die Erziehungsberech- 
tigten darüber. 

Eine 2018 vom Institut der deutschen 
Wirtschaft durchgeführte Studie zeigt: 
Zwei Drittel der befragten Kinder und 
Jugendlichen zwischen 14 und 21 Jah- 
ren weisen ein differenziertes und kriti- 
sches Bewusstsein für Datenschutz auf, 
doch die Ambitionen ihre Daten tat- 
sächlich zu schützen, sind gering: Wenn 
zum Schutz der eigenen Daten aufeinen 
beliebten Online-Dienst verzichtet oder 
sogar Geld in eine datensparsame Alter- 
native investiert werden soll, wird auf 
diesen Schutz lieber verzichtet (Sozial- 
forscher.innen sprechen dabei vom Phä- 
nomen „Privacy Paradoxon“).? Dass auf- 


geklärte Schülerinnen und Schüler sich 
im großen Stil gegen die Nutzung da- 
tensammelnder Software im Unterricht 
auflehnen, ist somit in naher Zukunft 
nicht zu erwarten, aber esist auch nicht 
ihre Aufgabe. Ausnahmen bestätigen 
die Regel: In Baden-Württemberg setzt 
sich die Landesschüler.innenvertretung 
seit dem Herbst 2020 gemeinsam mit 
einem Bündnis aus verschiedenen Or- 
ganisationen gegen Microsoft 365 und 
für Open-Source-Software im Unterricht 
ein.’ 


Die Rolle der Eltern 


Also obliegt es den Eltern, auf den Da- 
tenschutz ihrer Kinder zu achten. Die 
Voraussetzungen für Medienkompetenz, 
Datenschutzwissen und Medienerzie- 
hung in Familien sind jedoch sehr divers. 
Neben dem Bildungsstand derEltern, der 
Familiengröße und den finanziellen Res- 
sourcen ist relevant, ob und wo Eltern 
sich zum Thema Mediennutzung und Da- 
tensicherheit informieren. Eine schwei- 
zerische Studie zeigte im Jahr 2019, 
dass ein Viertel der befragten Eltern In- 
formationen zur Medienerziehung von 
der Schule ihres Kindes wünscht und 
somit auf die kompetente Einschätzung 
und Orientierungshilfe von Schulen ver- 
traut‘. Im Umkehrschluss ist davon aus- 
zugehen, dass Schulsoftware von Eltern 
weniger streng und kritisch beäugt wird 
als Apps und Dienste, die Kinder in der 
Freizeit und somit in ihrer direkten Ob- 
hut nutzen. 

Welche Software in Schulen einge- 
setzt wird, liegt zwar nicht in der di- 
rekten Entscheidungsgewalt der Eltern, 
doch sie können den Auswahlprozess 
entscheidend lenken: Sie müssen um 
Zustimmung gebeten werden, wenn 
Daten von ihnen und ihren Kinder ver- 
arbeitet werden sollen (Recht auf infor- 
mationelle Selbstbestimmung). Diese 
Zustimmung können sie auch verwei- 
gern. Insbesondere ist Vorsicht gebo- 
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ten, wenn Daten verarbeitet werden, die 
über notwendige Stammdaten hinaus- 
gehen, wenn externe IT-Dienstleister 
eingebunden werden, Daten an Dritte 
weitergegeben oder Programme einge- 
setzt werden, deren Datenverarbeitung 
sich der Steuerung durch die Schule ent- 
zieht. Davon sind somit mindestens der 
Einsatz aller Cloudlösungen, die Nutzung 
von Diensten außerhalb der EU, sowie der 
Einsatz proprietärer (nicht-quelloffener) 
Programme betroffen. Doch auch medi- 
enkompetente, aufgeklärte Eltern ma- 
chen von dem Privileg des Widerspruchs 
selten Gebrauch. Sie möchten nicht als 
„Spielverderber” dastehen, die digitalen 
Unterricht torpedieren. Sie befürchten 
ihre latenten Sorgen nicht ausreichend 
fachlich begründen zu können oder se- 
hen Nachteile für ihre Kinder, wenn diese 
von der Nutzung der Schulsoftware aus- 
geschlossen sind. Einige Eltern gehen 
bereits auf Schulen zu, verlangen Aus- 
kunft zur Verarbeitung der Daten (nach 
Art. 15 DSGVO), widersprechen der Nut- 
zung von Software, reichen Beschwerden 
bei Landesdatenschutzbeauftragten ein 
und ein paar besorgte Mütter und Väter 
haben bereits einen juristischen Klage- 
weg gewählt, um Schulen zum Einlenken 
zu bewegen. 


Die Rolle der Schule 
(Leitung & Lehrkräfte) 


Die Schulleitung trägt die Verant- 
wortung für die Datenverarbeitung 
(88 120 bis 122 Schulgesetz NRW und 
Art. 28 der DSGVO). Sie steht dabei in 
einem ständigen Spannungsfeld zwi- 
schen den Vorgaben von Ministerien 
und Schulträgern, den administrativen 
Möglichkeiten vor Ort, individuellen 
Finanzierungsfragen und den Bedürf- 
nissen von Schüler.innen, Lehrkräften 
und Eltern. Bei der Wahl der Schulsoft- 
ware werden datenschutzrechtliche 
Bedenken zudem häufig verdrängt, um 
den digitalen Unterricht überhaupt zu 
gewährleisten. Nicht aus Böswilligkeit 
oder weil beides zusammen nicht mög- 
lich wäre, sondern weil die Wirtschaft 
die Überforderung des Bildungssyste- 
mes ausnutzt und schnelle, einfache 
Lösungen anbietet: Die Angebote von 
datensammelnden IT-Großkonzernen 
stehen ohne langen Vorlauf zur Verfü- 
gung, halten hohe Auslastungen aus 
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und beinhalten technischen Rund-um- 
Support - genau das, was Schulen zur 
Entlastung brauchen. 

Dabei ist es gar nicht so einfach, wie es 
auf den ersten Blick aussieht: Die Schul- 
leitung hat den Betroffenen gegenüber 
eine umfassende Auskunftspflicht darü- 
ber, welche Daten verarbeitet werden, für 
welche Zwecke, wo und wie lange diese 
gespeichert werden, usw. (Art. 15 DS- 
GVO). Um diese Informationen vom ex- 
ternen Datenverarbeiter zu bekommen, 
muss die Schulleitung einen Auftrags- 
verarbeitungsvertrag (AVV) mit dem ex- 
ternen Datenverarbeiter (z.B. Microsoft) 
abschließen, in dem der Umgang mit 
den Daten detailliert geklärt und zudem 
hinreichend garantiert wird, dass kein 
Schaden für die Nutzer.innen entsteht. 
Die Schulleitung entscheidet, ob sie den 
Vertragsinhalten glaubt und zustimmt 
- auf eigene Verantwortung (Art. 28 DS- 
GVO). Und schon ist die Lage komplexer 
als angenommen, denn wenn sie ehrlich 
sind, müssen Schulen zugeben, dass 
sie viele Fragen zur Datenverarbeitung 
nicht sicher beantworten können, wenn 
sie proprietäre (nicht-quelloffene) Soft- 
ware aus Nicht-EU-Ländern verwenden, 
z.B. von Microsoft, Google oder Apple. 
Gleichzeitig ist der Druck eine Lösung für 
digitales Lernen zu finden, so groß, dass 
das Recht auf Bildung und das Recht auf 
informationelle Selbstbestimmung ge- 
geneinander abgewogen werden. Und 
zu oft wird dabei vergessen, dass Grund- 
rechte nicht verhandelbar sind. 

Lehrkräfte, die ebenfalls von der 
Verarbeitung ihrer Nutzerdaten betrof- 
fen sind, wenn auch in unkritischerem 
Maße als die Kinder, können wie alle an- 
deren Bürgerinnen und Bürger von ih- 
rem Recht aufinformationelle Selbstbe- 
stimmung Gebrauch machen. Allerdings 
spielen an der Stelle arbeitsrechtliche 
Bedingungen mitrein, u.a. dieErfüllung 
des Lehrauftrags. Verbeamtete Lehr- 
kräfte haben im Zuge des Remonstrati- 
onsrechts die Möglichkeit, fragwürdige 
Weisungen ihres Vorgesetzten in Frage 
zu stellen, z.B. die ausschließliche Nut- 
zung einer grundrechteverletzenden 
Software, und von der nächst höheren 
Dienstposition prüfen zu lassen.’ 

Grundsätzlich muss die Schule alter- 
native Möglichkeiten zur Partizipation 
am Unterricht schaffen, wenn Schüler. 
innen oder Lehrkräfte der Nutzung ei- 


nes Programms widersprechen. Den Be- 
troffenen dürfen keine Nachteile entste- 
hen, sodass die Zustimmung zur Daten- 
verarbeitung unter keinen Umständen 
ihre Freiwilligkeit verliert (ErwGr. 43 
DSGVO). 


Die Rolle der Politik 


Auf Ebene der Länder, Städte und 
Kommunen werden permanent Lösun- 
gen für Schulen vorgeschlagen und ent- 
sprechende Mittel bereitgestellt. Einige 
haben sich bereits auf den Weg mit da- 
tenschutzfreundlicher, freier Software 
gemacht, aber an vielen Stellen besteht 
Nachholbedarf. So kommt es immer 
wieder zu Fällen, in denen einzelne 
Schulen die Nutzung von datenschutz- 
freundlichen Programmen wünschen, 
städtische Mittel jedoch für Lizenzen, 
z.B. von Microsoft, ausgegeben werden, 
um zugleich auf eine gut ausgebau- 
te Support-Struktur zurückgreifen zu 
können. Ministerien investieren in den 
Ausbau datensammelnder Software, wie 
z.B. in Baden-Württemberg, wo 2020 
Microsoft 365 in Pilotprojekt-Schulen 
eingeführt wurde‘. Letzlich ist die Um- 
setzung der digitalen Bildungsplattform 
mit Microsoft-Software von der Landes- 
datenschutzaufsichtsbehörde gestoppt 
worden, doch wer das Software-Paket 
bereits verwendet hat, muss sich nach 
den Sommerferien 2021 wieder einmal 
neu aufstellen.’ 

Solche Rückschläge führen zu Zwei- 
feln gegenüber den vorgeschlagenen 
Lösungen und zwingen Bildungsein- 
richtungen dazu ggf. ihre eigene Digi- 
talisierungsstrategie umzusetzen. Wer 
in solchen Fällen keinen zahlungskräf- 
tigen und eigenmächtig handelnden 
Schulförderverein hinter sich hat, be- 
findet sich in einer Sackgasse. Da der 
Schutz von Schüler.innen-Daten bei 
der Verwendung von „intransparenter 
Software” immer wieder angezweifelt 
wird, muss die Politik den Ausbau von 
Open-Source-Projekten in der EU besser 
fördern - mit finanziellen Mitteln und 
attraktiven Anreizen für Schulen (z.B. 
gute Support-Struktur und Weiterbil- 
dungen für Lehrkräfte). So lange Schu- 
len die „Katze im Sack“ kaufen müssen 
und ihre Verantwortung für die Daten- 
verarbeitung von einem schlechten Ge- 
fühl begleitet wird, kann Datenschutz 
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nicht seine negative Konnotation des 
notwendigen Übels verlieren. Den 
Mehrwert von Datenschutz zu vermit- 
teln muss ebenfalls seitens politischer 
Programme verstärkt werden. 


Was macht heimische Open-Source- 
Software attraktiv? 


Nur Programme, die der Europäi- 
schen Datenschutz-Grundverordnung 
(DSGVO) unterliegen, können vom 
deutschen Rechtssystem umfassend 
abgedeckt und unserem Verständnis 
von gutem Datenschutz gerecht wer- 
den. Zudem können offene Quellcodes 
besser sichern, dass Datenflüsse er- 
kannt und unterbunden werden kön- 
nen. So genannte „freie Software”, die 
sich nicht nur durch einen öffentlich 
einsehbaren Quellcode auszeichnet, 
sondern auch lizenzfrei zur Verfügung 
steht, kann von allen Entwickler.innen 
genutzt und weiterentwickelt werden, 
um bestmögliche und kreative Soft- 
warelösungen zu schaffen. Um Mono- 
polstellungen von Unternehmen ent- 
gegenzuwirken, aber auch zum Schutz 
bei Serverausfällen oder vor Datenver- 
lust, ist es von Vorteil Daten dezentral 
zu speichern z.B. auf Servern in den 
Rechenzentren der Städte. Die Nut- 
zung freier oder quelloffener Software 
ermöglicht es zudem das Bildungssys- 
tem unabhängig von kommerziellen 
Interessen zu halten und den Bildungs- 
auftrag zu erfüllen, der auffreiheitlich- 
demokratischen Werten basiert. Der 
Einsatz von „Marken-IT” bindet Schü- 
lerinnen und Schüler von klein auf an 
die gesamte Produktpalette des Anbie- 
ters und beeinflusst die Entfaltung der 
Persönlichkeit: Die permanente Zufuhr 
von Nutzungsdaten und persönlichen 
Informationen ermöglicht differen- 
zierte Persönlichkeitsanalysen, macht 
schon junge Kinder zu gläsernen Men- 
schen, angreifbar und manipulierbar. 
Für Schulen, die sich u.a. als Schutz- 
raum für Heranwachsende verstehen, 
sollte Open-Source-Software der Min- 
deststandard sein.? 


Welche Möglichkeiten gibt es bereits? 
Allgemeine Schul-IT: Eigens für Schu- 


len angepasste Netzwerke wie Skole- 
linux/DebianEDU oder Linuxmuster 
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statt Windows-Betriebssystemen ma- 
chen möglich die gesamte IT-Infra- 
struktur auf freie Softwarelösungen 
umzustellen. Mit einer Ausnahme: Die 
von den Ministerien zur Verfügung ge- 
stellte Schulverwaltungssoftware zur 
Kommunikation zwischen Schulen und 
Aufsichtsbehören steht selten für Linux 
zur Verfügung. Das sollte sich dringend 
ändern. 

Unterrichtsumgebung: Moodleistein 
Lernmanagement-System, das kommer- 
ziellen Plattformen kaum nachsteht. 
Unterrichtsmaterialien, Hausaufgaben, 
Tests und Lernfortschritte sowie kol- 
laboratives Arbeiten von Lerngruppen 
kann dort digital umgesetzt werden. 
In Moodle lässt sich auch die Video- 
konferenz-Software „BigBlueButton” 
integrieren.’ Eine weitere Möglichkeit, 
sich während des Unterrichts zu sehen, 
bietet „Jitsi” (oder das für Schulen an- 
gepasste „Meetzie”'°). Eine Dateiablage 
ist zwar in Moodle bereits enthalten, 
doch mit „Nextcloud” stehen zusätz- 
lich noch ein Terminkalender und ein 
Kanban zur Verfügung. Nextcloud-Talk 
bietet auch die Möglichkeit zu „video- 
konferieren“. Eine Art digitales Klas- 
senbuch (Noten, Fehlzeiten, Stunden- 
pläne, usw.) bietet z.B. „GradeMan” (für 
diese besonders sensiblen Daten sollten 
allerdings analoge Lösungen immer be- 
vorzugt werden). 

Werkzeuge: Für das Erstellen von 
Texten, Tabellen und Präsentationen 
eignen sich „Libre Office” oder „Colla- 
bora”. Wer gemeinsam schreiben möch- 
te, kann „Etherpads” oder „Cryptpads” 
dafür nutzen. Letztere bieten auch eine 
übersichtliche Ordnerstruktur zum 
Ablegen der Dokumente. Für sämtli- 
che weiteren digitalen Tätigkeiten, die 
im Unterricht relevant werden, gibt 
es ebenfalls freie Lösungen. So kön- 
nen z.B. Bilder mit „GIMP“ bearbeitet 
werden, Musik mit „Audacity“ und Vi- 
deos mit „OpenShot”. Das Lernen an 
sich kann von Programmen wie „Anki” 
(Karteikarten) oder „Freemind” (Mind- 
maps) unterstützt werden. Software 
für den fächerspezifischen Unterricht, 
vom Vokabeln-Lernen bis zum Noten- 
Schreiben ist sehr vielfältig verfügbar. 
Auskunft geben beispielsweise Websi- 
tes zu OER-Materialien (Open Educa- 
tional Ressources), wie oer.schule oder 
medien-in-die-schule.de'". 


1 Datenfresser an Schulen: https:// 
digitalcourage.de/blog/2020/ 
datenfresser-an-schulen 


2 Studie des Instituts der deutschen 
Wirtschaft: https://www.iwkoeln.de/ 
studien/iw-trends/beitrag/barbara- 
engels-datenschutzpraeferenzen-von- 
jugendlichen-in-deutschland.html 


3 Bündnis „Unsere digitale Schule”: 
https://unsere-digitale.schule/ 


4 MIKE-Studie 2019: https://www. 
zhaw.ch/de/psychologie/forschung/ 
medienpsychologie/mediennutzung/ 
mike/#c145075 


5 https://www.gew-nrw.de/ 
remonstration.html 


6 Laudatio bei den BigBrotherAwards 
2020: https://bigbrotherawards. 
de/2020/ digitalisierung- 
bildungsministerin-baden- 
wuerttemberg-susanne-eisenmann 


7 Warnung des LfDI: https://bnn.de/ 
nachrichten/baden-wuerttemberg/ 
warnung-datenschutzbeauftragter- 
microsoft-office-365-schulen-baden- 
wuerttemberg 


8 Freie Software für Schulen: https:// 
digitalcourage.de/blog/2020/freie- 
software-fuer-schulen 


9 BigBlueButton in Moodle: https:// 
blog.hwr-berlin.de/elerner/anleitung- 
zur-nutzung-von-bigbluebutton-auf- 
moodle/ 


10 Meetzie: https://klassenzimmer. 
meetzi.de/ 


11 Achtung, das Projekt wird u.a. von 
Google gefördert. Die Software- 
Empfehlungen sind jedoch größtenteils 


quelloffen. 


HR 
KOT 


000 


Nextcloud 


Beispiele für freie Software 
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Schule digital: 


Wie ein Lock-In an Schulen der Gesellschaft schadet 


Was kurzfristig den Unterricht sichern soll, wird langfristig negativ auf unsere Bildung und 


unsere Gesellschaft wirken. Chaos macht Schule zeigt Auswege. 
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Überstürzt wurden in den vergange- 
nen Wochen und Monaten an Schulen 
neue Geräte und Software angeschafft, 
um in der Coronavirus-Pandemie Di- 
stanzunterricht oder auch Hybrid- 
unterricht zu ermöglichen. Doch was 
den Unterricht während der Pandemie 
schnellstmöglich sichern sollte, wird 
auf lange Zeit negative Auswirkungen 
auf unser Bildungswesen und unsere 
freiheitlich-demokratische Gesellschaft 
haben. Wir verschärfen dadurch den 
Lock-In-Effekt. Aber was ist der Lock- 
In-Effekt eigentlich? 


Der Lock-In-Effekt 


Der Begriff des Lock-In-Effekts? 
stammt aus der Betriebswirtschaft und 
den Wirtschaftswissenschaften. Ein 
Lock-In bindet Kund:innen an ein be- 
stimmtes Produkt, weil sich ein Wech- 
sel zu einem Konkurrenzprodukt wirt- 
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schaftlich nicht lohnt. Erreicht wird 
dies durch fehlende Interoperabilität 
zwischen den Produkten. Klassische 
Beispiele dafür sind Rasierklingen oder 
Objektive für Fotokameras, die nur mit 
den Produkten eines einzelnen Herstel- 
lers kompatibel sind. 

Um Kund:innen für diese Abhängigkei- 
ten zu gewinnen, werden sie zumeist mit 
attraktiven Startangeboten gelockt. Die 
Folgekosten werden bei Kaufentschei- 
dungen selten mitkalkuliert. Langfris- 
tig profitieren daher die Hersteller von 
der Bindung mehr als die Kund:innen. 
Solche Lock-In‘-Bindungen gibt es im 
Informationszeitalter natürlich auch bei 
Hardware- und Software-Produkten. 


Unbewusst Weichen für die Zukunft 
gestellt 


Wenn gerade Technologien an Schu- 
len überhastet eingeführt werden, 


möchten die Bildungsverantwortlichen 
nur sicherstellen, dass Distanzunter- 
richtin Zeiten der Pandemie stattfinden 
kann, bevor die Schulen in nicht allzu 
ferner Zukunft wieder zum klassischen 
Unterricht - also dem analogen Prä- 
senzunterricht - zurückkehren kön- 
nen. Tatsächlich vollziehen die Schu- 
len dabei unbemerkt eine überstürzte 
Transformation vom Industriezeitalter 
zur Informationsgesellschaft, bei der 
Entscheidungen getroffen werden, die 
aufgrund von Lock-In-Effekten nur mit 
hohen Kosten und viel Mühe rückgängig 
gemacht werden können. 

Viele Technologiefirmen sehen gerade 
in der Pandemie eine echte Chance in 
die Bildungseinrichtungen drängen zu 
können, preisen deshalb offensiv ihre 
Lösungen an und bieten sogar direkte 
Hilfe für die Erstellung von Medienent- 
wicklungsplänen?. Dabei haben viele 
dieser Firmen in der Vergangenheit 
bereits Produkte an Schulen verkauft, 
die sich als nicht praxistauglich erwie- 
sen haben, wie zum Beispiel die inter- 
aktiven Tafeln der Firma SMART. Dem 
hohen Absatz lag ein gutes Marketing 
zugrunde und kein stimmiges Konzept 
für Schulen‘. 

Solchen Firmen ist es wichtiger ihre 
Produkte zu verkaufen, als dass ein 
nachhaltiges und passgenaues Medi- 
enkonzept für eine Schule entsteht. 
Dass solche Angebote dennoch gerne 
von Entscheider:innen angenommen 
werden, liegt daran, dass es ihnen an 
informatischen Fachkenntnissen, an 
pädagogisch-didaktischer Erfahrung 
oder an Zeit fehlt - meistens sogar an 
allem, denn die digitale Transformati- 
on der Schulen wurde über Jahrzehnte 
verschleppt’. 
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Schulen sind besonders anfällig für 
Lock-Ins 


Lock-In-Effekte gab es im Schulsys- 
tem natürlich schon immer. Schließlich 
sind Schulen Orte, zu denen nur wenige 
Dienstleister wie beispielsweise Schul- 
buchverlage Zugang erhalten. Denn mit 
Einführung eines bestimmten Schul- 
buches wird das Curriculum des Faches 
mit festgelegt und Lehrkräfte erstellen 
passend dazu Arbeitsblätter, Klausuren 
und mehr. Das festigt die Bindung an 
das Buch weiter. Die Geschäftsmodelle 
dieser Dienstleister sind auch auf den 
Erhalt dieser Exklusivität ausgerichtet 
und erschweren so Innovation. Bei den 
Schulbüchern wird unter anderem mit 
entsprechenden Lizenzen die Entste- 
hung von freien Bildungsmaterialien, 
die auf den Lernplattformen dringend 
gebraucht werden, erschwert. 

Der sich jetzt abzeichnende Techno- 
logie-Lock-In in Schulen wird allerdings 
deutlich stärker ausfallen als die seit 
Jahrzehnten bestehenden Lock-In- 
Probleme wie bei dem oben erwähnten 
Schulbuch. Nicht nur bilden sich lang- 
fristige Abhängigkeiten aus, sondern 
die angeschafften Techniklösungen 
prägen neben den Lehrplänen für eine 
lange Zeit auch die Einstellungen ihrer 
Nutzer:innen. 


Lock-In bei Hardware 


Die Lock-Ins durch neu angeschaff- 
te Hardware zeichnen sich bereits in 
vielen Städten ab. Denn sie setzen für 
ihre Schulen vermehrt auf Tablets wie 
das iPad von Apple®. Gute Gründe gibt 
es: Die Geräte sind robust und durch 
ihr abgeschlossenes Betriebssystem 
können Nutzer:innen wenig kaputt 
machen. Grundschulen schätzen an 
iPads, dass diese einfach zu bedienen 
sind und die i0S-App-Welt gut gemach- 
te Anwendungen für ihren Unterricht 
bereithält. Da essich beiApple um eine 
begehrte Marke handelt, nutzen Schul- 
träger diese auch gerne als Werbung für 
ihre Schulen?. 

Dass das Betriebssystem ziemlich ab- 
geschottet ist und jegliche Logik von 
Datei- und Ordnerstrukturen versteckt, 
womit das Gerät zu einer smarten 
Blackbox wird, spielt für sie nur eine 
untergeordnete Rolle. Dies ändert sich 
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mit dem Alter der Schülerinnen. Da 
sich Schulen aber als Ganze für einen 
Endgerätetyp für ihre Lehrkräfte ent- 
scheiden müssen"°, sind die Schwierig- 
keiten im Kollegium vorprogrammiert, 
wenn zum Beispiel eine Lehrkraft einen 
Laptop mit einem freien Betriebssys- 
tem möchte. 


Lock-In scheint attraktiver als 
Aufbau von Know-how 


Einige Schulträger gehen noch einen 
Schritt weiter und nehmen zusätzlich 
Produkte wie AppleTV direktinihren Me- 
dienentwicklungsplan auf (Siehe etwa 
die Stadt Hannover, 1000-2020, 2754- 
2020)". Durch solche Maßnahmen wer- 
den andere Endgeräte systematisch 
ausgeschlossen und Umgebungen etab- 
liert, welche die Handlungsmöglichkei- 
ten der Lehrkräfte stark einschränken. 
Für einen späteren Kurswechsel müsste 
die angeschaffte Infrastruktur in Teilen 
ausgetauscht werden und es würde wie- 
derum eine Einarbeitung in ein neues 
System stattfinden müssen. Dies trifft 
natürlich auch auf die Expertise der IT- 
Abteilung des Schulträgers zu, die nur 
einseitig auf ein bestimmtes System 
trainiert wird. 

An den meisten Schulen fehlen immer 
noch Vollzeit-Administrator:innen. Ei- 
nerseits werden diese Stellen für Schu- 
len von den Kommunen gar nicht erst 
geschaffen, andererseits sind diese bei 
IT-Fachkräften finanziell gesehen häu- 
fig nicht konkurrenzfähig’”. Dies führt 
dazu, dass von unterdimensionierten 
kommunalen IT-Abteilungen einfache 
Lösungen bevorzugt werden, die mit 
dem bestehenden Personal umgesetzt 
werden können. Es werden beispielswei- 
se einfach bedienbare Mobile-Device- 
Management-Systeme eingeführt, die 
aber nur eine Monokultur wie iPads er- 
möglichen”. Wie so oft wird Geld nicht 
in eigenes Personal, sondern in Lizenzen 
internationaler Konzerne investiert. 


Klare Kriterien verhindern Hard- 
ware-Lock-In 


Um nicht in die Gefahr eines Hard- 
ware-Lock-Ins zu laufen, muss die Infra- 
struktur eine Diversität an Endgeräten 
zulassen. Als Faustregel sollte gelten: 
Hardware und Software müssen von- 


einander unabhängig betreibbar sein. 
Dadurch wird das gesamte System flexi- 
bler und somit resilienter - Veränderun- 
gen werden leichter umsetzbar. Es gibt 
mehrere Schulen in Deutschland, die 
sich hierbei auf einem sehr guten Weg 
befinden, wie zum Beispiel das Georg- 
Büchner-Gymnasium Seelze nahe Han- 
nover'*, das den Weg einer Linux-Schule 
geht und eine nachhaltige Digitalisie- 
rung anstrebt‘. 

Generell sollte bereits bei der Wahl der 
Hardware in Schulen auf Fragen wie „Wer 
macht was mit meinen Daten?” und auf 
Reparierbarkeit beziehungsweise den 
Umweltschutz insgesamt geachtet wer- 
den. Hier fehlt es an klaren Vorgaben sei- 
tens der Ministerien, obwohl einige Län- 
der bereits pro Klima handeln möchten. 
In der Verfassung von Niedersachsen 
steht beispielsweise: „In Verantwortung 
auch für die künftigen Generationen 
schützt das Land das Klima und mindert 
die Folgen des Klimawandels.”'° 

Mit in die Auswahl der Endgeräte 
sollten auch Themen wie Konfliktmate- 
rialien, Menschenrechtsverletzungen, 
Kinderarbeit einfließen’’”. Denn auch 
Schulen haben als Teil unserer Gesell- 
schaft eine Verantwortung gegenüber 
den künftigen Generationen, wie es im- 
mer wieder von Fridays for Future gefor- 
dert wird'®. 


Lange Gerätezyklen sparen Kosten 
und Ressourcen 


Zur Auswahl der Endgeräte gibt es un- 
sererseits Empfehlungen'®. Bei Tablets 
hat sich ein Herstellersupport für das 
Betriebssystem von längstens 5 Jahren 
etabliert”°. Diesen Zyklus gibt meist 
nicht die eigentliche Hardware vor, son- 
dern der Hersteller und so wird nach 
dieser Zeit trotz intakter Hardware ein 
neues Tablet angeschafft. Felix Schop- 
pe, Lehrer am Georg-Büchner-Gymnasi- 
um, berichtet dazu: „Wir leben digitale 
Nachhaltigkeit vor. Wir installieren und 
reparieren unsere Laptops zusammen 
mit Schülerinnen und Schülern und 
zeigen, dass man selbst zehn Jahre alte 
Business-Notebooks noch aktiv ein- 
setzen kann. In Verbindung mit GNU/ 
Linux verleiht man so vermeintlichem 
Elektroschrott ein neues Leben.” 

Dabei geht es nicht darum, bestimm- 
te Endgerätegruppen aus unseren 
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Schulen zu verbannen. Eine Schule 
könnte Endgeräte mit GNU/Linux be- 
sonders fördern, aber allen am Schul- 
leben Beteiligten trotzdem die Wahl 
selbst überlassen. Zudem werden Spe- 
zialgeräte wie Grafiktablets für das 
Fach Kunst oder Festrechner für die 
Informatik vorgehalten. 


Kreativ mit Personalmangel umgehen 


Für die Umsetzung eines solchen Sze- 
narios bedarf es natürlich entsprechen- 
der Ressourcen. Computer-AGs können 
die Schul-IT unterstützen und sich so- 
gar an der Weiterentwicklung von frei- 
er Software?! beteiligen. Dies wird von 
einigen Schulen, wie dem Katharineum 
aus Lübeck” schon seit Jahren erfolg- 
reich praktiziert, wie der stellvertreten- 
de Schulleiter Frank Poetzsch-Heffter 
berichtet: „In der Arbeit der Computer 
AG sehe ich eine Win-Win-Situation: Ei- 
nerseits fördern wir Begabungen bis hin 
zu Kontakten in den Profibereich, ande- 
rerseits erhalten wir wichtige Impulse 
für die Wartung und Verbesserung der 
IT-Technik.” 

Zusätzlich bedarf es ausgebildeter 
Techniker:innen, die den Schulen zur 
Verfügung stehen, wenn es um Grund- 
sätzliches geht. Des Weiteren können 
Schulassistent:innen für den First- 
Level-Support ausgebildet werden und 
es könnte ein Freiwilliges Technisches 
Jahr an Schulen etabliert werden, 
auch für ältere Menschen, die aus ih- 
ren Berufen mit viel Fachwissen aus- 
scheiden. 


Lock-In bei Software 


Bereits das oben angesprochene 
großflächige Anschaffen von iPads 
bringt Schulen einen zusätzlichen Soft- 
ware-Lock-In ein. Aber nicht nur auf 
Ebene der Betriebssysteme gibt es Lock- 
In-Fallen für unsere Schulen, denn wie 
in jedem Unternehmen sind dort eine 
Vielzahl unterschiedlicher Programme 
im Einsatz. Es gibt Verwaltungssoftware 
wie ein Notenprogramm, ein digitales 
Klassenbuch oder spezielle Software für 
den Fachunterricht. Außerdem werden 
in der Pandemie kurzfristig viele Lern- 
plattformen eingeführt, auf denen sich 
neben Unterricht auch der Austausch 
des Kollegiums organisiert. 
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Software-Anschaffungen gefährden 
digitale Souveränität 


Für die Auswahl von für den Unter- 
richt zugelassener Software existieren 
bisher wenige Vorgaben vonseiten der 
Ministerien. Das überrascht, da bei- 
spielsweise Schulbücher vor deren Ein- 
satz ein Prüfverfahren durchlaufen. 
Und so wird rechtswidrige Software wie 
Microsoft Teams von Schulträgern aus- 
gewählt. 

Dass nach jahrelangem Hin und Her 
für Microsoft Teams ein Verbot ab dem 
1. August für hessische Schulen aus- 
gesprochen wurde”, kommt sehr spät 
für viele Schulen. Die Politik hätte 
dies deutlich früher vorgeben müssen. 
Denn nicht Landesdatenschutzbeauf- 
tragte, sondern Gesetze geben vor, was 
erlaubt ist und was nicht. Ein Grund 
für das nötige Verbot ist, dass sich bei 
der Nutzung von Teams Daten beim US- 
Konzern ansammeln. Ein „Recht auf Ver- 
gessenwerden” ist nicht gewährleistet? 
und die digitale Souveränität unserer 
Schüler:innen” somit gefährdet. 


Zu starke Bindung an Software ist 
teuer 


Neben den Problemen beim Einsatz 
von Teams die Datenschutzgesetze 
einzuhalten, ist ein Lock-In in der von 
Microsoft erdachten Bildungswelt* vor- 
programmiert. Denn Teams lässt keinen 
einfachen Datenexport oder -import 
zu, nutzt proprietäre Formate, ist we- 
nig anpassbar und lässt sich schlecht 
mit anderen Anwendungen kombinie- 
ren. Dies bekommen viele öffentliche 
Schulen in Hessen, die seit Langem 
auf Teams setzen, nun zu spüren: We- 
der lassen sich dort erstellte Klassen- 
teams in einer neuen Lernplattform 
importieren, noch können über Jahre 
gewachsene Class Notebooks?’ oder in 
Forms erstellte Quizze aus Teams weiter 
genutzt werden. Diese Problematik ad- 
diert sich dann noch ungünstig mit dem 
immer bestehenden Schulungsaufwand 
aller Nutzer:innen auf neue Produkte, 
wofür im ohnehin stressigen Schulall- 
tag wenig Zeit ist - insbesondere nicht 
während einer Pandemie. Gäbe es das 
behördliche Verbot in Hessen nicht, 
würden sicherlich die meisten der be- 
troffenen Schulen bei Teams bleiben. 


Pädagogik und Didaktik haben 
Vorrang vor Technik 


Wegen der fehlenden Anpassbarkeit 
und dem schwierigen Datenexport aus 
proprietärer Software sollten auch da- 
tenschutzkonforme Lösungen wie its 
learning” nicht in unseren Schulen 
verwendet werden. Vergleicht man die 
Welt von vor zehn Jahren mit der heu- 
tigen, wird klar, dass wir nicht wissen, 
welche Technologien in weiteren zehn 
Jahren in Schulen gebraucht werden. 
Geschlossene Systeme sind zu unflexi- 
bel; sobald sie nicht mehr zu den eige- 
nen Bedürfnissen passen, sitzt man in 
der Lock-In-Falle. Zu beobachten war 
dies zu Beginn der Pandemie, als das Vi- 
deokonferenztool von Teams noch nicht 
über Breakout-Räume verfügte. Den 
Lehrkräften und Schüler:innen blieb 
nur das Verzichten auf Gruppenarbeiten 
und ein Warten auf das entsprechende 
Update. Somit musste sich Pädagogik 
und Didaktik nach der Technik richten 
anstelle umgekehrt bei gleichzeitiger 
Einnahme einer passiven Konsumenten- 
haltung, welche die digitale Mündigkeit 
gefährdet”. 

Und wer weiß heute, ob OneNote eines 
Tages eingestellt wird oder ob ein Unter- 
nehmen pleitegeht? Wenn Lehrkräfte ihr 
gesamtes Material in solchen geschlos- 
senen Systemen erstellen, könnte das 
ein echtes Problem werden. Das haben 
die Nutzer:innen von „Padlet”, einer di- 
gitalen Pinnwand, im vergangenen Jahr 
gemerkt. Das Tool erfreute sich großer 
Beliebtheit bis es kostenpflichtig wurde 
und man seine Datenschutzprobleme 
aufdeckte. Viel Material und viele Ar- 
beitsstunden gingen verloren. 


Mit freier Software und Kooperation 
den Lock-In verhindern 


Das sich monatelang hinziehende 
Drama um Teams hätte man den Schu- 
len ersparen können’, wenn man von 
vorneherein auf bereits bestehende und 
praxiserprobte freie Technik gesetzt 
hätte. Eine solche ist zum Beispiel das 
seit Jahren betriebene BelWü-Hoch- 
schulnetz. Im eigens für den Unterricht 
in Baden-Württemberg angepassten 
Moodle?! wurde in kurzer Zeit und von 
wenigen Freiwilligen ein Videokonfe- 
renzsystem für Schulen hinzugefügt, 
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als es zu Schulschließungen kam, 
was die Fähigkeit der Anpassung freier 
Software verdeutlicht. Dass die Syste- 
me anfänglich teilweise unter Last zu- 
sammenbrachen, ist nachvollziehbar 
angesichts der Unterfinanzierung und 
den Ausstattungsmängeln, mit denen 
teilweise bis jetzt gekämpft wird. Diese 
Anpassung braucht es aber, um für jede 
einzelne Schule individuelle Lösungen 
bereitstellen zu können. Die technische 
Umsetzung kann überregional vorbe- 
reitet werden und Schulen können sich 
dann die Teile installieren, die sie wirk- 
lich brauchen. 

Eine länderübergreifende Entwicklung 
spart dabei nicht nur Kosten, sondern 
hilft beim Beheben von Sicherheitslü- 
cken und anderer Softwarefehler. Sie 
setzt allerdings voraus, dass erfolglose 
Alleingänge, wie wir sie bei den Lern- 
plattformen beobachtet haben®”, durch 
kooperatives Handeln ersetzt werden. 
Dabei braucht es offene Schnittstellen 
nicht zuletzt auch, um Lernenden und 
Lehrenden bei einem Schulwechsel einen 
einfachen Umzug ihrer Daten zu ermög- 
lichen und neue Lernwerkzeuge einfach 
integrieren zu können. 

Die eingesetzte Software muss quell- 
offen vorliegen, damit Interessierte in 
der Lage sind sie zu verstehen, zu be- 
werten und zu hinterfragen. Wird eine 
solche Installation dezentral betrieben, 
werden Schulen digital souverän: Die 
einzelnen Instanzen sind untereinan- 
der ausfallsicher, sie bieten korrekt 
gehostet einen maximalen Datenschutz 
und eine große Unabhängigkeit gegen- 
über Anbieterentscheidungen. 


Wie kam es zum Status Quo? 


Wenn viele Argumente also gegen die 
derzeit in Schulen verwendeten techni- 
schen Angeboten sprechen, stellt sich 
die Frage, wie es überhaupt zu deren Ein- 
satz kam. Die Gründe für die Einführung 
bestimmter Technologien sind zumeist 
anhand der Bildungslandschaft und sei- 
ner dort vorhandenen wie auch fehlen- 
den Kompetenzen nachvollziehbar. 


Fördertöpfe, nicht-Sachkundige und 
entkoppelte Entscheidungen 


Oft treffen die Schulträger die Tech- 
nologieentscheidungen, dabei sind 
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sie meistens weder praktizierende 
Lehrer:innen noch Informatiker:innen. 
Auch sind sie nicht die datenschutz- 
rechtlich verantwortliche Stelle. Folg- 
lich stellen sie ihre Bedürfnisse nach 
Planbarkeit, rascher Funktionalität und 
Finanzierbarkeit über den Schutz der 
Privatsphäre der Betroffenen, also der 
Lehrenden und Lernenden. Sie sehen in 
der aktuellen Situation zuerst die vom 
Bund einmalig bereitgestellten Gelder 
eines Digitalpakts, der keine Aussagen 
trifft, wie zeitgemäße Schulen aussehen 
müssen. Die Länder wiederum bieten 
bei den zu treffenden Entscheidungen 
wenig Unterstützung, wenn sie einfach 
nur die Geldtöpfe aufstocken (zum Bei- 
spiel in Baden-Württemberg)’*. Parallel 
machen die Länder während der Coro- 
na-Pandemie ständig neue Vorgaben in 
Bezug auf die Öffnung beziehungsweise 
Schließung von Schulen, was die Schul- 
träger unter Handlungsdruck setzt. 

Um das Distanzlernen zu garantieren, 
werden Schulen oft Lösungen aufge- 
zwungen, die gegebenenfalls gar nicht 
zu ihren Bedürfnissen passen oder die, 
wie in Hessen festgestellt, schlicht 
rechtswidrig sind. Stattdessen braucht 
es eine nachhaltige Entwicklung jeder 
einzelnen Schule in Abstimmung mit 
der dortigen Schulgemeinschaft. Eine 
Grundschule wird mit einer großen 
Lernplattform überfordert sein oder 
diese gar nicht richtig nutzen, während 
sie für ein Gymnasium angemessen ist. 


Vom Verwaltungs-Lock-In zum 
Schul-Lock-In 


Manche Schulen gerieten unverschul- 
det in einen softwareseitigen Lock-In, 
weil ihre Stadtverwaltungen schon lan- 
ge auf Microsoft und dessen Sharepoint 
setzten. Da die Städte oft Schulträger 
sind und daher für die Ausstattung ih- 
rer Schulen verantwortlich sind, wird 
passend dazu die Lernplattform Teams 
ausgewählt. Das macht aus städtischer 
Sicht Sinn, da entsprechende Verträge 
nur noch zu erweitern sind, Kosten kal- 
kulierbar scheinen und ihre zu kleinen 
IT-Abteilungen es leichter haben, wenn 
alle mit dem gleichen System arbeiten. 

Hier zeigen sich die Folgen eines seit 
vielen Jahren bestehenden Lock-In- 
Effekts in den kommunalen Verwaltun- 
gen’. Kaum einer mag bei den damali- 


gen Entscheidungen vorhergesehen ha- 
ben, dass sie nachhaltige Auswirkungen 
auf unser Bildungssystem haben wer- 
den, weil sich der Lock-In hier fortsetzt. 
Schulen müssen nun einmal mehr die 
Versäumnisse der Politik ausgleichen ®®, 


Internationale Aktiengesellschaften 
drängen in die Schulen 


Firmen wie Google, Microsoft oder 
Apple sind internationale Aktiengesell- 
schaften und folgen den ökonomischen 
Interessen ihrer Aktionär:innen. Dafür 
werden unter anderem Datensammlun- 
gen der Nutzer:innen aufgebaut, wes- 
wegen es sich für sie lohnt bereits an 
junge Menschen heranzutreten und sie 
von klein auf an ihre Produkte und ihre 
Art der Datennutzung zu gewöhnen. 
Google spielt im deutschen Bildungs- 
markt zwar bisher keine große Rolle. Da 
sie aber in den USA ein wichtiger Player 
im Bildungsbereich sind, kann sich das 
in Deutschland auch langfristig ändern. 

Shoshana Zuboff, Professorin für 
Wirtschaftswissenschaften, kritisier- 
te das auf Datensammlungen basie- 
rende Geschäftsmodell einst treffend 
als „Tyrannei des Überwachungs- 
kapitalismus””. Vor diesem Hinter- 
grund ist schwer nachvollziehbar, 
dass Politiker:innen es zulassen, dass 
Lehrkräfte und Schüler:innen für die- 
se Geschäftsinteressen dressiert wer- 
den. Zumal zusätzlich Lizenzgebühren 
erhoben werden und es wegen oben 
beschriebener Geschäftsmodelle auch 
formaljuristisch zu Datenschutzverlet- 
zungen kommt *. 

Natürlich gehören Geschäftsbezie- 
hungen zwischen Firmen und Schulen 
zum Alltag, woher sonst sollten bei- 
spielsweise die technische Ausstat- 
tung oder Möbel stammen. Dabei soll- 
ten Schulen jedoch werbefreie Räume 
bleiben, in denen die besten Lösungen 
anhand klarer Kriterien eingekauft 
werden und nicht weil ein Anbieter das 
beste Marketing besitzt oder eine Kom- 
plettlösung bereits in der öffentlichen 
Verwaltung etabliert wurde. Es sollte 
beim Ausschreiben öffentlicher Aufträ- 
ge berücksichtigt werden, dass momen- 
tan Firmen, deren Geschäftsmodelle auf 
dem Sammeln von Nutzer:innendaten 
basieren, auch noch in unsere Schulen 
einziehen. So wird ihre Marktmacht auf 
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Kosten von Schüler:innen noch weiter 
verfestigt. 


Über Jahre vernachlässigt, dann 
geschasst - freie Software 


Viele der durch Schulträger und Bil- 
dungspolitik ausgelösten Fehlentwick- 
lungen und Irrfahrten, bei denen Soft- 
ware erst eingesetzt werden muss und 
dann wieder verboten wird, werden auf 
den Schultern der ohnehin überlaste- 
ten Lehrkräfte ausgetragen. Die oftvon 
Lehrkräften oder Dritten geäußerte 
Folgerung®, dass der Datenschutz da- 
ran schuld sei, ist jedoch falsch. Der 
Datenschutz ist ein essenzielles Grund- 
recht. Wenn dieses mit Einführung von 
bestimmten Technologien mit Füßen 
getreten wird, sollte die Kritik korrek- 
terweise an Schulträger und Bildungs- 
politik adressiert werden. 

Zudem wird behauptet, dass die 
Auswahl der Software und Hardware 
alternativlos seiund dass Datenschutz- 
verstöße von Firmen wie Microsoft ge- 
duldet werden müssten, damit der Un- 
terricht auf Distanz weitergehen kann. 
Zahlreiche funktionierende Gegen- 
beispiele‘’ beweisen, dass dem nicht 
so ist. Dabei wird gerne verschwie- 
gen, dass die Entscheider:innen diese 
scheinbare Vormachtstellung selbst 
provoziert haben. Denn anstelle immer 
weiter Lizenzgebühren zu bezahlen, 
könnte man dieses Geld in Weiterent- 
wicklung und Schulung von freier Soft- 
ware investieren. 

Besonders überrascht die Entwick- 
lung der Lernstatt Paderborn‘. Die 
bereits 2001 gestartete und ständig 
weiterentwickelte Lerninfrastruktur für 
insgesamt 37 Schulen wird von einem 
breiten Zusammenschluss von Firmen, 
der Universität Paderborn und der Stadt 
getragen. Pädagogische und techni- 
sche Fragen werden durch zusätzliche 
Arbeitsgruppen begleitet. Die hierfür 
in den Schulen installierten Server wer- 
den von einem lokalen Rechenzentrum 
administriert, um den Lehrkräften den 
Rücken freizuhalten. Als es zum Dis- 
tanzlernen kam, stellte sich heraus, 
dass die Plattform dafür nicht konzi- 
piert war und es kam zu Ausfällen und 
Cyber-Angriffen. Anstelle mit dem of- 
fensichtlich vorhandenen Know-how 
eigene Lösungen zu entwickeln und 
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das System entsprechend anzupassen, 
entschied sich die Lernstatt Paderborn 
Ende 2020 dazu, Microsoft Teams einzu- 
kaufen‘”. 

Ähnliche Problematiken wie in der 
Bildung bestehen auch an anderen 
öffentlichen Stellen. Politiker:innen 
beklagen sich regelmäßig über die Ab- 
hängigkeit in der Verwaltung von Mi- 
crosoft“, ohne etwas daran zu ändern. 
Man begibt sich sogar noch tiefer in den 
Lock-In: Das einstige Vorzeigeprojektin 
München unter Verwendung von Linux 
(LiMux) wurde nach wenigen Jahren 
eingestellt‘. Einer der Gründe war, dass 
nicht alle von der Verwaltung benötig- 
ten Anwendungen für Linux verfügbar 
waren und zu wenig investiert wurde, 
um diese auf Linux zu portieren oder 
neu zu entwickeln. 


Ausblick - digitale Souveränität for- 
dern und fördern 


Wenn wir uns nicht der Herausforde- 
rung stellen und nachhaltige Lösungen 
finden, verlieren wir perspektivisch 
jede Chance auf digitale Souveräni- 
tät - nicht nur in der Bildung. Denn 
je länger Lock-In-Technologien im 
Einsatz sind, desto schwerer und teu- 
rer wird der Wechsel zu anderen Tech- 
nologien: Lehrkräfte, die über Jahre 
hinweg ihre Unterrichtsmaterialien 
mit Lock-In-Software erstellt haben, 
fällt der Wechsel verständlicherweise 
schwer. Und je länger wir Lizenzkosten 
für proprietäre Software zahlen, desto 
weiter können deren Hersteller diese 
optimieren, während gerade dieses 
Geld für die Weiterentwicklung freier 
Software fehlt. 


Produktschulungen verhindern digi- 
tale Mündigkeit 


Auch leidet die digitale Mündigkeit“* 
von Schülerinnen und Lehrenden, 
wenn sie nur Software-Pakete ausge- 
wählter Hersteller bedienen können. 
Schon heute begegnen uns immer wie- 
der Personen, die trotz kurzer Einfüh- 
rung nicht in der Lage sind, mit einer 
anderen Textverarbeitung zurechtzu- 
kommen. Neben Produktwissen muss 
auch Konzeptwissen vermittelt werden, 
sodass eine Einarbeitung in neue Umge- 
bungen schnell möglich ist. 


Hersteller kann Preisschraube jeder- 
zeit anziehen 


Je schwerer ein Wechsel fällt, desto 
mehr Geld kann der Anbieter für sein 
Produkt fordern - die öffentliche Hand 
übernimmt diese Kosten zwangsweise. 
Ähnlich wie in der Politik, wo die Kos- 
ten für Microsoft-Lizenzen Jahr für Jahr 
stark steigen“, besteht dieses Risiko 
auch für unsere Bildungslandschaft. 
Wir sollten uns nicht darauf verlassen, 
dass die Firmen geringe Gewinne ak- 
zeptieren, da sie primär an der Bindung 
der Nutzer:innen interessiert sind be- 
ziehungsweise deren Daten sammeln 
möchten. 


Software-Vielfalt statt Monokultur 


Eine Software-Vielfalt und die Mög- 
lichkeit Software frei den eigenen Be- 
dürfnissen anzupassen, fördert die digi- 
tale Mündigkeit von Schüler:innen und 
Lehrkräften. Würden Schulen diesen 
Schritt flächendeckend gehen, müsste 
nicht jede Schule die hohen Kosten für 
die Anpassungen zahlen. Die öffentliche 
Hand würde statt Software-Lizenzen 
nun die Weiterentwicklung von freier 
Software finanzieren, weitere Kosten 
fallen für den Betrieb an. Dies schafft 
lokale Arbeitsplätze und bringt die Soft- 
ware weltweit voran. Genauso wie die 
Schulen von den Weiterentwicklungen 
anderer profitieren werden. 

Innerhalb der EU ansässige Firmen 
zahlen im Gegensatz zu manchen glo- 
balen Tech-Giganten Steuern auf ihre 
Gewinne‘. Mit entsprechenden Bud- 
gets kann freie Software in vielen Be- 
reichen den Vergleich zu proprietärer 
Software halten. Auch Hardware kann 
länger eingesetzt werden, weil Sicher- 
heitsupdates länger zur Verfügung ge- 
stellt werden. 

Es werden weniger oft neue Geräte 
angeschafft, was aus Umweltaspekten 
nachhaltiger ist und die damit einher- 
gehenden Menschenrechtsverletzun- 
gen beim Abbau von Konfliktmateria- 
lien in Ländern des globalen Südens“ 
verringert. Langfristig wäre dieser Weg 
zukunftssicherer. Außerdem verhin- 
dert dezentral betriebene Infrastruk- 
tur den flächendeckenden Ausfall“ von 
Plattformen? oder überregionale Leaks 
von personenbezogenen Daten?!. 
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Mit digitaler Mündigkeit zu einer 
freien Wissensgesellschaft 


Schüler:innen, deren Know-How sich 
nicht nur aufden Umgang mit Microsoft- 
oder Apple-Geräten beschränkt, son- 
dern die ein grundlegendes Verständnis 
für Technologie entwickelt haben, sind 
problemlos in der Lage sich kurzfris- 
tig Neues anzueignen. Auch wären die 
Hürden die Software in Politik und Be- 
hörden auf freie umzustellen, deutlich 
geringer und die für unsere Gesellschaft 
so wichtige und oft geforderte’? digitale 
Souveränität wäre langfristig gesichert. 
Das bei Lizenzen eingesparte Geld stün- 
de unter anderem für die Weiterentwick- 
lung von freier Software zur Verfügung. 

Ziel des Schulsystems müssen mün- 
dige Menschen sein, die die digitalen 
Werkzeuge verstehen und hinterfra- 
gen können. Digitale Mündigkeit®® 
muss über reines Anwendungswis- 
sen oder informatische Grundlagen 
wie das Programmieren hinausgehen. 
Schülerinnen sollen keine bloßen 
Nutzer:innen und Werbekund:innen 
von Plattformen werden, sondern dieje- 
nigen sein, die ihre Maschinen kontrol- 
lieren und gestalten. Digitalpolitik darf 
dabei nicht alstechnischer Randbereich 
verstanden werden, sondern muss als 
Grundpfeiler einer modernen Gesell- 
schaftspolitik behandelt werden. Ohne 
mündige Bürger, im Analogen wie im Di- 
gitalen, ist keine Demokratie möglich. 

Vor dem Hintergrund der jahrelangen 
Fehlentwicklungen ist der Weg zu Lock- 
In-freier Infrastruktur kein leichter, doch 
je länger wir warten, desto steiniger und 
teurer wird er. Im Sinne einer freien Bil- 
dung, mündigen Bürgern und einer frei- 
en Gesellschaft‘ müssen wir ihn gehen. 
Schulen wären der beste Startpunkt dafür. 
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„Datenschutz geht zur Schule” (DSgz$) 


Eine Initiative des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. 


Im folgenden Artikel stellen die Autoren die Initiative DSgzS vor, beschreiben, wie üblicherweise Veranstaltungen der Initiative 
ablaufen, welche Erfahrungen bei der Mitarbeit in der Initiative gemacht wurden und versuchen einen Ausblick darauf, wie sich 
die Arbeit der Initiative in Zukunft weiter entwickeln wird bzw. wie sich das Thema Vermittlung von Datenschutzthemen und 
Medienkompetenz in Zukunft darstellen kann. 


Die Anfänge - 
Hintergrund/Entstehung 


Nachdem bereits mindestens seit 
2007/2008 einzelne Datenschützer' des 
BvD ehrenamtlich in Schulen Daten- 
schutzvorträge gehalten hatten, hat sich 
diese Idee im Jahr 2009 deutschlandweit 
als BvD’-Initiative „Datenschutz geht zur 
Schule“ (DSgzS) etabliert. 

Hintergrund war, dass (wir) Daten- 
schützer hauptberuflich die Kollegen 
(als interner DSB) bzw. Mitarbeiter der 
Kunden (als externer DSB) über den 
Datenschutz informieren und beraten. 
Dadurch soll sichergestellt werden, dass 
sich einerseits jedermann im Berufsle- 
ben an die datenschutzrechtlichen Vor- 
gaben halten kann und andererseits, 
dass auch jeder über seine Rechte in- 
formiert wird und so erfährt, dass auch 
Andere sich an diese Vorgaben zu halten 
haben. Das Problem dabei war, dass man 
von diesen wichtigen Grundkenntnissen 
zum Datenschutz erst als Erwachsener 
bzw. beim Eintritt ins Berufsleben etwas 
erfahren konnte. In der Schule, die einen 
ansonsten auf das Leben vorbereitet, war 
(und ist) dieses Thema in den Lehrplä- 
nen weitgehend nicht vorgesehen. Die 
gelebte Praxis war aber - auch damals 
schon - so, dass Schüler sehr viel online 
unterwegs waren und entsprechend ihre 
persönlichen Daten weit gestreut haben 
(heute vorwiegend über Handys oder Ta- 
blets, damals noch hauptsächlich mit PCs 
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oder Laptops). Beim Eintritt in das Be- 
rufsleben, das im Normalfall mit Bewer- 
bungen beginnt, kann es dann oft schon 
zu spät sein für die Erkenntnisse, die 
einem von einem Datenschützer vermit- 
telt werden’. Als möglicher Ausweg aus 
diesem Dilemma wurden Datenschutz- 
Sensibilisierungs-Veranstaltungen für 
Schüler gesehen. Weil man aber nicht 
warten sollte, bis die Lehrpläne in allen 
Bundesländern an diese Realität ange- 
passt sind, wurde vom BvD ein neuer Ar- 
beitskreis (AK Schule) ins Leben gerufen, 
der sich um die Rahmenbedingungen für 
die gleichzeitig gegründete Initiative 
DSgzS kümmerte. 

Zu den Rahmenbedingungen gehörte 
zunächst ein einheitlicher Foliensatz, 
mit dem die Datenschützer (im Fol- 
genden „Dozenten“ genannt) ihre Vor- 
träge an den Schulen halten konnten. 
Schließlich handelte es sich um eine 
Initiative des BvD, und es sollte daher 
sichergestellt sein, dass hier im Rahmen 
der Möglichkeiten auch ein möglichst 
einheitliches Niveau geboten wird. Dazu 
gehörten weitere Regelungen wie eine 
Qualitätssicherung (z. B. in Form von 
Fragebögen, die am Ende einer Veran- 
staltung von den Lehrkräften ausgefüllt 
werden), einem Code of Conduct (CoC), 
den jeder Dozent zu unterschreiben hat, 
die Finanzierung (klar geregelte Abläu- 
fe z. B. für die Erstattung von Fahrtkos- 
ten sowie ggf. Aufwandentschädigun- 
gen oder auch Spendenformulare - dazu 


später mehr), Flyer, Internetauftritt 
(www.dsgzs.de) sowie die Organisation 
über die BvD-Geschäftsstelle z. B. für 
die Anschreiben an die Dozenten als Re- 
aktion auf Schulanfragen, etc. 

Zum Qualitätsmanagement der Initia- 
tive gehört auch ein „Mentoren- und Frei- 
gabekonzept”. Abgesehen von den aller- 
ersten Dozenten (den Gründern der Ini- 
tiative), musste jeder weitere Interessent 
von einem Mentor abgenommen werden 
- und das ist bis heute so. Erst nachdem 
man einmal einen Probevortrag in Anwe- 
senheit eines Mentors gehalten hat und 
dieser Vortrag für „gut“ befunden wurde, 
darf man sich als „Dozent“ der Initiative 
DSgzS bezeichnen und selbstständig vor 
Klassen auftreten. Dabei muss man weder 
als Dozent noch als Mentor Mitglied des 
BvD sein. Es sollte sich jedoch um enga- 
gierte Datenschützer handeln, die bereit 
und in der Lage sind ehrenamtlich Vor- 
träge an Schulen zu halten und sich an 
die Regeln der Initiative zu halten. Men- 
toren sind dabei bundesweit verteilte er- 
fahrene Dozenten der Initiative, die zum 
Zeitpunkt der Ernennung zum Mentor 
bereits über 1000 Schüler im Rahmen der 
Vorträge von DSgzS sensibilisiert haben. 


Ein Vorfall, der die Initiative in die 
Nachrichten brachte 


Schon während einer der ersten DS- 


gzS-Veranstaltungen gab es folgenden 
Vorfall, der die Initiative in die Nach- 
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richten brachte und somit zur Populari- 
tät von DSgzS frühzeitig beitrug: 

Am Ende einer DSgzS-Veranstaltung 
trat eine Schülerin an den Dozenten 
mit folgender Frage heran: „Bei mei- 
nem Laptop blinkt manchmal die LED 
meiner Webcam, obwohl ich sie nicht 
benutze”. Der Dozent dieser Veranstal- 
tung war nicht nur langjährig erfah- 
rener Datenschützer des BvD, sondern 
auch gut mit Hardware vertraut und in 
seiner Rolle als IT-Forensiker auch als 
Gutachter vor Gericht aktiv gewesen. Er 
konnte schnell einschätzen, dass hier 
mit hoher Wahrscheinlichkeit etwas 
nicht stimmte. In Absprache mit der 
Schule und den Eltern wurde darauf- 
hin die Polizei eingeschaltet. Es stellte 
sich heraus, dass die Webcam „fernge- 
steuert” wurde. Die Polizei konnte den 
Täter über die IP-Adresse ausfindig ma- 
chen und auf frischer Tat stellen. Als 
die Wohnung des Täters von der Polizei 
aufgebrochen wurde, war er gerade 
online und hatte viele Mädchen-Kin- 
derzimmer auf seinem Bildschirm. Der 
Mann wurde wenig später verurteilt, 
jedoch auf Bewährung, weil er ein Erst- 
täter war. Dieser Vorfall ging damals 
durch die Medien und wurde auch in 
den Hauptnachrichten wiedergegeben. 
Diese Geschichte wird auch heute noch 
in den DSgzS-Veranstaltungen vorge- 
tragen, weil sie direkt mit der Initiative 
verbunden ist, und weil sie zeigt, dass 
gewisse Gefahren nicht nur theoretisch 
möglich sein können, sondern dass sie 
auch real stattfinden. 

Neben der Problematik, die mit der 
Bild- und Tonübertragung ins Inter- 
net verbunden sein kann, stellte dieser 
Vorfall auch ein konkretes Beispiel für 
die Gefahren dar, die mit schlechten 
Passwörtern verbunden sein können. 
Der Hacker konnte die Kinderzimmer 
nämlich nur deshalb „überwachen“, 
weil er aufden PCs/Laptops der Schüle- 
rinnen zuvor einen Trojaner installiert 
hatte. Dies wiederum ging nur, weil 
er zuvor das Passwort eines Schülers 
herausbekommen hatte. Mit diesem 
Passwort konnte er dann dessen Schul- 
kameradinnen (im Namen des Klassen- 
kameraden) kontaktieren, wobei er 
den Nachrichten ein Bild beifügte, das 
in Wirklichkeit ein Trojaner war. Durch 
Aufrufen des langweiligen Bildes, das 
die Schülerinnen auch bald löschten 
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und schnell wieder vergaßen, wurde 
die Software installiert, die der Angrei- 
fer für die Fernsteuerung der jeweili- 
gen Kameras brauchte. 

Solche Geschichten prägen sich bei 
den Schülern (und Lehrern) deutlich 
besser ein als das Vortragen von Geset- 
zen oder die Bitte um Beachtung von 
TOM‘. Die mit diesem Beispiel verbun- 
denen Datenschutzthemen (Umgang 
mit Webcams, Umgang mit Passwörtern) 
stellen nach wie vor einen wichtigen Teil 
einer DSgzS-Veranstaltung dar. 


Ein Preis, der die Initiative 
unterstützte 


Bei der Preisverleihung des Wettbe- 
werbs „Deutschland Land der Ideen”’ 
ging im Jahr 2011 ein Preis an die Ini- 
tiative DSgzS. Die eingereichte Idee 
war, dass wir (DSgzS) an einem Tag 
etwa 1000 Schüler an einem Ort (Ber- 
lin) schulen. Dazu wurden zwei Schulen 
ausgesucht, auf welche die an diesem 
Aktionstag teilnehmenden Dozenten, 
die dafür aus ganz Deutschland ange- 
reist waren, verteilt wurden. Die Idee 
wurde prämiert (die Preisverleihung 
steht unter der Schirmherrschaft des 
Bundespräsidenten) und ist somit seit 
2011 ein weiteres Aushängeschild der 
Initiative. Bei dieser „Idee“ handelte 
es sich eigentlich nur um eine einma- 
lige Veranstaltung, die für diesen Preis 
im Jahr 2011 stattfand. Wir wollten die 
Idee aber aufrechterhalten und haben 
neben den vielen Veranstaltungen, bei 
denen jeweils Schulen individuelle Ter- 
mine mit Dozenten vereinbaren, auch 
danach jedes Jahr mindestens einen 
Aktionstag organisiert, bei dem etwa 
1000 Schüler an einem Tag geschult 
werden sollten. Zum Beispiel nutzen wir 
dazu den jährlich stattfindenden Safer 
Internet Day (SID)°, um möglichst vie- 
len Schülern die Teilnahme an einer DS- 
gzS-Veranstaltung zu ermöglichen. Das 
geschieht bei diesen Veranstaltungen 
zwar nicht an einem Ort, sondern auf 
ganz Deutschland verteilt, aber zu an- 
deren Gelegenheiten finden auch nach 
wie vor regelmäßig solche Veranstal- 
tungen an einem Ort und an einem Tag 
mit etwa 1000 Schülern statt, zu denen 
dann jeweils viele Dozenten der Initiati- 
ve aus ganz Deutschland anreisen (siehe 
z.B. Dozententag unter „Stand heute“). 


Stand heute 


Nach inzwischen über zehn Jahren 
DSgzS ist die Grundidee hinter der Ini- 
tiative unverändert geblieben und der 
Bedarf ist nach wie vor vorhanden. Es 
hat sich aber viel getan: 

Es stellte sich schnell heraus, dass es 
neben den DSgzS-Schulveranstaltun- 
gen (für Schüler) auch einen Bedarf für 
Lehrer- und Elternveranstaltungen gibt. 
Die eigentlichen Schulveranstaltungen 
waren von Anfang an als kostenlose 
und ehrenamtliche Veranstaltungen ge- 
plant, und das ist bis heute unverändert 
geblieben, damit keine Unterschiede 
zwischen Privatschulen und staatlichen 
Schulen gemacht werden müssen, bei 
denen zu erwarten ist, dass es Unter- 
schiede in der Bereitschaft (und auch 
in den Möglichkeiten) gibt, für einen 
Datenschutzvortrag etwas zu bezahlen. 

Veranstaltungen für Erwachsene, 
die z. B. für das Lehrerkollegium einer 
Schule oder für Eltern von Schulkindern 
im Rahmen eines Elternabends gehalten 
werden, sollten aber nicht vollkommen 
kostenlos sein. Für die Erwachsenenvor- 
träge sollte es wenigstens einen kleinen 
Beitrag geben, den der AK Schule dann 
auf 150,00 € pro Veranstaltung festge- 
legt hat, von denen 100,00 € netto für 
die Dozenten sind. Das ist weit entfernt 
von den üblichen Stundensätzen eines 
Datenschützers; dazu später mehr unter 
„Es ist nicht alles Gold, was glänzt - Un- 
terschied zwischen Theorie und Praxis”. 

Dem AK Schule war klar, dass auch 
unter Mitwirkung vieler ehrenamtlicher 
Datenschützer in der Initiative DSgzS 
der Mangel in den Lehrplänen nicht 
dauerhaft behoben werden und dass das 
Engagement somit nur als Übergang ge- 
dacht sein kann - bis zu dem Zeitpunkt, 
an dem wir (DSgzS) uns wieder zurück- 
ziehen können, weil der Datenschutz 
wie auch die Medienkompetenz fest in 
den Lehrplänen aller Schultypen und 
aller Bundesländer verankert ist. Wir 
wussten nur nicht, wie lange es dauern 
wird und wie wir dieses Ziel erreichen 
oder mindestens dessen Erreichung 
forcieren können. Soviel war klar: Wir 
brauchten Unterstützung. 

Zuerst brauchten wir Mitstreiter, die 
sich an der Arbeit im Arbeitskreis betei- 
ligten. Das war von Anfang an gegeben. 
Der AK Schule hat zwar eine gewisse 


DANA ® Datenschutz Nachrichten 2/2021 


Fluktuation, aber sechs bis zwölf Mit- 
glieder hatte er immer, und damit lässt 
sich gut arbeiten. Dann werden selbst- 
verständlich Dozenten gebraucht, die 
in die Schulen gehen - am besten auf 
ganz Deutschland verteilt. Die meisten 
Mitglieder des AK sind auch als Dozen- 
ten tätig, was aber nicht annähernd 
ausreicht. An dieser Stelle waren wir nur 
bedingt erfolgreich. Es gibt ein großes 
Süd-/Nord-Gefälle, was die Anzahl’ der 
Dozenten betrifft. Wir haben in Nord- 
deutschland daher auch extrem wenige 
Mentoren, die weitere Dozenten freige- 
ben können. Der Autor? war deshalb be- 
reits mehrfach im Norden (bis nach Nie- 
büll - etwa 10 km südlich der dänischen 
Grenze), um auch Norddeutschland in 
DSgzS mehr einzubinden, und bei die- 
sen Gelegenheiten wurden auch bereits 
mehrere Dozenten „freigegeben“. 
Erforderlich waren aber langfristig 
weitere Mitstreiter auf einer anderen 
Ebene. Das waren einerseits Sponso- 
ren, welche die Initiative unterstützen 
konnten, aber auch z. B. Aufsichtsbe- 
hörden, die als Referenz in den jewei- 
ligen Bundesländern Gewicht bei den 
Schulbehörden und den Schulen selbst 
hatten. Ein erster wichtiger „Mitstreiter“ 
war der (inzwischen ehemalige) Präsi- 
dent des BayLDA?, Herr Thomas Kranig, 
der auch selbst als Dozent der Initiative 
DSgzS unterwegs war!°. Die Zusammen- 
arbeit des BvD mit dem BayLDA (auch 
unter dem Nachfolger Michael Will) und 
seit Jahren auch mit dem LfDI BW"", 
Herr Dr. Stefan Brink, ist inzwischen 
sehr intensiv und beschränkt sich nicht 
nur auf DSgzS. Inzwischen wird die In- 
itiative auch von mehreren weiteren 
Aufsichtsbehörden immer mehr unter- 
stützt, wobei auch hier ein Süd-/Nord- 
Gefälle erkennbar war, was sich aber zu 
ändern beginnt. Beispielsweise ist die 
Landesbeauftragte für den Datenschutz 
in Niedersachsen’?, Frau Barbara Thiel, 
schon seit Jahren in der Jury des DAME- 
Preises!’ des BvD aktives Mitglied und 
Mitarbeiter der Behörde haben schon 
an Aktionstagen zum Safer Internet Day 
(siehe weiter unten) mitgewirkt. Auch 
das nördlichste Bundesland ist an einer 
engen Zusammenarbeit mit DSgzS in- 
teressiert. Der jährliche „Dozententag” 
(auf die Dozententage wird in folgenden 
Abschnitten noch eingegangen) war für 
2020 in Kiel im Anschluss an die vom 
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ULD"* geplante „Sommerakademie“ vor- 
gesehen. Bedingt durch Corona musste 
Frau Marit Hansen, Leiterin des ULD, 
den Termin zwar absagen, hat die Ein- 
ladung aber für 2021 aufrechterhalten 
und sich auch an dem erstmals virtuell 
durchgeführten Dozententag 2020 als 
Vortragende beteiligt. Am 3. Juli 2018 
veranstaltete Frau Voßhoff - bis 2019 
die Bundesbeauftragte für den Daten- 
schutz und die Informationsfreiheit 
(BfDI) - gemeinsam mit dem BvD in Ber- 
lin eine Dialogkonferenz „Datenschutz 
für Kinder“, an der selbstverständlich 
auch die Initiative DSgzS beteiligt war. 
Viel mehr geht seitens des BfDI nicht, 
denn Bildung ist nicht Bundes-, son- 
dern Ländersache. 

Neben der hier beschriebenen sehr 
wichtigen politischen/inhaltlichen/ 
moralischen Unterstützung brauchte 
die Initiative auch Sponsoren”, denn es 
fielen Kosten an, die langfristig weder 
der Berufsverband (dessen Mitglieder ja 
nicht unbedingt in DSgzS eingebunden 
waren) übernehmen konnte und schon 
gar nicht die ehrenamtlichen Mitglie- 
der der Initiative. Zunächst handelte es 
sich um geringe Beträge, z. B. für Flyer 
und weiteres Informationsmaterial, und 
zunehmend wuchs auch der Arbeitsan- 
teil der Geschäftsstelle für die organi- 
satorische Arbeit. Sponsoren meldeten 
sich allmählich auch, denn DSgzS ist 
eine Initiative, an deren Unterstüt- 
zung Unternehmen aus guten Gründen 
Interesse haben. Hierzu wurden zu- 
nächst ein Flyer'° und dann ein detail- 
liertes Sponsorenkonzept erstellt. Das 
Sponsorenkonzept sah unterschiedliche 
Möglichkeiten der Unterstützung von 
DSgzS vor. Das reichte von einer rein fi- 
nanziellen Unterstützung bis hin zu der 
Möglichkeit, dass Unternehmen z. B. 
ihre Datenschutzbeauftragten für ein 
paar DSgzS-Veranstaltungen pro Jahr 
(jeweils im lokalen Umfeld - um Reise- 
kosten möglichst niedrig zu halten) zur 
Verfügung stellen konnten. 

Seit der Initiative seit einigen Jahren 
jährlich ein guter fünfstelliger Betrag 
zur Verfügung steht, gibt es ganz ande- 
re Möglichkeiten als in der Anfangszeit. 
Neben der anteiligen Finanzierung einer 
Bürokraft in der BvD-Geschäftsstelle, 
die sich inzwischen hauptsächlich um 
die vielen organisatorischen Aufgaben 
der Initiative kümmert, konnten z. B. 


folgende Ideen umgesetzt werden, an 
die anfangs gar nicht zu denken war: 


« Eine der ersten Ideen war eine kon- 
krete Handreichung zur Unterstüt- 
zung gegen unbeabsichtigte Nutzung 
der Webcam (siehe oben: „Ein Vorfall, 
der die Initiative in die Nachrichten 
brachte”). Anfangs antworteten die 
Dozenten auf die Frage, wie man sich 
davor schützen kann, noch mit dem 
Hinweis, dass man die Webcam doch 
abdecken kann, z. B. mit einem Post- 
it, so lange bis sie bewusst genutzt 
wird. Jetzt - mit einem nennenswer- 
ten Budget - konnten professionel- 
lere Lösungen umgesetzt werden. Es 
wurden u.a. folgende Webcam-Sticker 
entworfen: 


"z 02% 
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Von den aufgedruckten Symbolen 
können die folgenden drei als Sticker 


genutzt werden: 
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« Damit stehen unterschiedlich große 
Sticker zur Verfügung, mit denen man 
entweder die Handy-Kamera oder die 
Kamera eines Laptops bzw. Monitors 
oder auch eine externe Webcam abde- 
cken kann. Diese einfachen Webcam- 
Sticker waren von Anfang an ein gro- 
ßer Renner. Sie werden am Ende jeder 
DSgzS-Veranstaltung an alle Teilneh- 
mer verteilt. Oftwerden weitere Sticker 
für nicht anwesende Geschwister bzw. 
die eigenen Kinder der Lehrer nachge- 
fragt”. 

Eine weitere Handreichung bestand 
von Anfang an darin, dass „etwas“ 
für die Nachbearbeitung/Vertiefung 
der DSgzS-Veranstaltungen zur Ver- 
fügung gestellt wurde. Engagierte 
Lehrer haben immer wieder danach 
gefragt, wie die in den 90 Minuten 
einer DSgzS-Veranstaltung angespro- 
chenen Themen im Unterricht ver- 
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tieft werden könnten. Dieses „etwas“ 
bestand anfangs aus Linklisten"®, auf 
denen zu einem Großteil auf weiter- 
führende Informationen (z.B. auch) 
von „Klicksafe”!? verwiesen wurde. 
Mit dem Budget bestand nun die Mög- 
lichkeit direkt Handreichungen von 
Klicksafe speziell für die DSgzS-Ver- 
anstaltungen bereitzustellen. 

Die verschiedensten Materialien von 
Klicksafe können zwar kostenlos von 
deren Webseite heruntergeladen bzw. 
in gedruckter Form bestellt werden, 
aber in dem Umfang, wie es für die 
DSgzS-Veranstaltungen gebraucht 
wird, musste dafür eine andere Lö- 
sung gefunden werden, damit nicht 
bei jeder Veranstaltung ca. zehn bis 
15 Broschüren und Flyer an die Lehr- 
kräfte übergeben werden mussten. 
Herausgekommen ist eine sehr gute 
Zusammenarbeit zwischen Klicksa- 
fe und DSgzS, deren Endergebnis ein 
„Lehrerhandout”?° ist, welches so- 
wohl als PDF-Datei direkt von der DS- 
gzS-Seite (wie auch von der Klicksa- 
fe-Webseite) geladen werden kann als 
auch bei jeder DSgzS-Veranstaltung 
als gedrucktes Buch kostenlos über- 
reicht wird. 

Inhaltlich handelt es sich dabei um 
eine speziell auf die DSgzS-Veran- 
staltungen angepasste Auswahl der 
Klicksafe-Materialien, bei denen die 
einzelnen Datenschutzthemen ver- 
tieft erläutert und teilweise durch 
konkrete, im weiteren Unterricht 
nutzbare Arbeitsblätter ergänzt 
werden. Die Nachfrage nach diesen 
Handouts war vom ersten Exemplar an 
überwältigend. Einige interessierte 
Behörden (z.B. Landesmedienanstal- 
ten) haben diese Handouts beim BvD 
in großer Stückzahl angefragt - und 
danach auch noch nachbestellt. 

Als Anerkennung für die ehrenamtlich 
tätigen Dozenten der Initiative wurde 
schon lange darüber nachgedacht, wie 
man den Dozenten für ihr Engagement 
danken kann, womit sowohl zeitliches 
als auch finanzielles Engagement ge- 
meint ist; denn manchmal fallen auch 
höhere Reisekosten an, die nur teil- 
weise an die anfragenden Schulen/In- 
stitutionen weitergegeben werden. Als 
Ergebnis dieser Überlegungen wurde 
ein jährlicher Dozententag ins Leben 
gerufen, zu dem alle aktiven Dozen- 
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ten eingeladen werden. Bisher wurde 
dazu jedes Jahr ein anderer Ort ge- 
wählt (quer über die Republik verteilt, 
so dass alle ähnliche Reiseaufwände 
haben), zu dem die Dozenten für eine 
(mindestens) eintägige Veranstaltung 
mit vielen interessanten Vorträgen 
eingeladen werden. Diese Dozententa- 
ge haben bereits stattgefunden: 


o 


2014 an der Ludwig-Maximilians- 
Universität (LMU) in München 


2015 bei der DFS Deutsche Flug- 
sicherung GmbH in Langen (bei 
Frankfurt) 


2016 bei der DATEV in Nürnberg 


2017 bei der Deutschen Bahn (DB) 
in Potsdam 


2018 beim Landesbeauftragten für 
den Datenschutz und die Informa- 
tionsfreiheit (LfDI) in Stuttgart 


o 


° 


o 


o 


o 


2019 im Heinz-Nixdorf-Museum 
(HNF) in Paderborn 


2020 geplant beim ULD in Kiel, 
online durchgeführt (Corona) 


° dafür 2021 wieder beim ULD in Kiel 
geplant, muss aber auch online 
durchgeführt werden?! 


o° 


Den Dozenten werden nicht nur inte- 
ressante Vorträge rund um die The- 
men Schule, Bildung, Datenschutz 
etc. geboten, sondern meistens auch 
angrenzende Themen, von denen ver- 
mutet wird, dass sie für diesen Kreis 
ebenfalls von Interesse sind: Zum 
Beispiel wurde 2014 die V2C-Demo 
(das „Holodeck”) vorgestellt, zum 
Dozententag 2015 waren es VR- und 
3D-Brillen einschließlich der dazu- 
gehörigen Anwendungssoftware. Au- 
ßerdem sind auch immer Führungen 
beim Gastgeber selbst oder in der 
jeweiligen Umgebung vorgesehen. 
Beispielsweise gab es bei der Flugsi- 
cherung eine Besichtigung des Center 
Langen, von dem aus der deutsche 
Luftraum von Düsseldorf im Norden 
bis zum Bodensee im Süden bis zu ei- 
ner Höhe von etwa 8000m kontrolliert 
wird, und in Paderborn konnten die 
Dozenten das Heinz-Nixdorf-Museum 
besuchen. In Potsdam fand der Do- 
zententag Dank der Zusammenarbeit 
mit der Deutschen Bahn im Kaiser- 


bahnhof statt, durch den es natürlich 
auch eine Führung gab. In Nürnberg 
wurden vom Gastgeber DATEV Karten 
für die parallel stattfindende it-sa zur 
Verfügung gestellt und die Dozenten 
konnten am frühen Abend einen Vor- 
trag über IT-Forensik im Museum für 
Kommunikation Nürnberg besuchen. 
Und in Stuttgart wurde eine Führung 
über die Baustelle des Hauptbahnhofs 
(S21erleben) angeboten. 

Bisher haben alle Vortragenden ihre 
Referate für diesen guten Zweck auch 
kostenlos gehalten. Hierfür engagier- 
ten sich insbesondere Vertreter ver- 
schiedener Datenschutz-Aufsichts- 
behörden, aber auch z. B. ein Dozent 
von der Hochschule der Polizei in 
Thüringen sowie Vertreter von Klick- 
safe und Verbraucherschutzorganisa- 
tionen und Andere. 

Abgerundet werden diese Dozen- 
tentage mit einem gemeinsamen 
Abendessen am Vorabend und häufig 
auch mit einem zusätzlichen (vorher 
stattfindenden) Aktionstag - da ja 
sowieso viele Dozenten an einem Ort 
sind. Alle dafür anfallenden Kosten 
wie das Abendessen und die Hotel- 
übernachtungen sowie die ggf. wei- 
teren Kosten für Catering etc. werden 
vom BvD - jeweils in Absprache mit 
den Sponsoren - übernommen. 

Einen Nachteil hatte der ursprüngliche 
Umgang mit den Spenden jedoch: Der 
BvD als Berufsverband ist eine Inter- 
essenvertretung der Datenschutzbe- 
auftragten und somit im Gegensatz 
z. B. zur DVD nicht gemeinnützig. Das 
bedeutet, dass die Spenden versteuert 
werden mussten, obwohl die Initiati- 
ve DSgzS ja ehrenamtlich agiert - und 
somit im Grundsatz sehr wohl gemein- 
nützig tätig ist. Um das auch rechtlich 
korrekt darzustellen und somit die 
Spenden zu 100% auch den vorgese- 
henen Zwecken zukommen lassen zu 
können, hatte der BvD-Vorstand im 
Jahr 2019 die Idee, eine gemeinnützi- 
ge GmbH zu gründen, was dann auch 
in einer Mitgliederversammlung so be- 
schlossen und im Jahr 2020 mit Schaf- 
fung der BvD-eigenen „privacy4peo- 
ple - Gesellschaft zur Förderung des 
Datenschutzes gGmbH”” umgesetzt 
wurde. Über diese gGmbH können die 
Sponsoren jetzt die vollen Spendenbe- 
träge steuerlich absetzen, sofern die 
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Spenden für die Zwecke? der gGmbH 
vorgesehen sind. Das wird die Spen- 
denbereitschaft sicher zusätzlich er- 
höhen. 


Wie sieht eine DSgzS-Veranstaltung 
inhaltlich aus - welche Themen wer- 
den wie adressiert 


Es gibt je nach Alter der Schulkinder 
zwei unterschiedliche Foliensätze (Sek I 
und Sek II) - einen für die 5. bis 9. Klas- 
sen und einen für die 9. bis 13. Klassen. 
Bei den neunten Klassen können somit 
beide Foliensätze genommen werden, 
was z. B. davon abhängt, ob die Ver- 
anstaltungen ansonsten mit 8. Klassen 
oder mit 10. Klassen gemischt werden. 

Die Unterschiede zwischen den Fo- 
liensätzen bestehen hauptsächlich in 
der Einleitung, die für Sek II mehr da- 
tenschutzrechtliche Hintergrundinfor- 
mationen (Historie, DSGVO, BDSG, ...) 
enthält, während die Einleitung der 
Sek-I-Vorträge den Datenschutz aus- 
führlicher, anhand von vielen Beispie- 
len auch kindgerechter erläutert. 

Nach der Einleitung, die üblicherwei- 
se etwa 30 derinsgesamt 90 Minuten be- 
nötigt, kommt eine Hauptfolie, die sehr 
viele Themen enthält, aus denen dann 
individuell Themen ausgewählt werden 
können. Diese Themenauswahl unter- 
scheidet sich gering in den beiden Fo- 
liensätzen; z. B. steht für Sek I folgende 
Auswahl zur Verfügung (siehe Bild). 


Da man für eine DSgzS-Veranstaltung 
eine Doppelstunde zur Verfügung hat, 
d.h. 90 Minuten“, reicht das im Normal- 
fall nicht für alle angegebenen Themen 
aus. Daher muss eine Auswahl an zu 
besprechenden Themen vorgenommen 
werden, was z.B. derart erfolgen kann, 
dass man abwechselnd den Dozenten 
und dann die Schulklasse ein Thema aus- 
wählen lässt. Wenn ein Thema gewählt 
wird, dann wird auf weitere Folien (ggf. 
mit zusätzlichen kurzen Filmbeiträgen) 
zu dem jeweiligen Thema verzweigt. Am 
Ende jedes dieser Themen geht es für die 
nächste Auswahl wieder zur Übersichts- 
folie zurück. Bei der Auswahl wird der 
Dozent immer versuchen, auch die rot 
dargestellten Themen zu behandeln, weil 
es sich dabei aus Sicht des AK Schule (der 
die Folien erstellt hat) um fundamentale 
Grundlagen handelt, die immer vermit- 
telt werden sollten. 

Anhand des Themas „Soziale Netzwer- 
ke“ soll beispielhaft erläutert werden, 
was bei der Auswahl im Detail bespro- 
chen und mit den Schülern diskutiert 
wird; denn was für das Internet allge- 
mein gilt, gilt für die sozialen Netzwerke 
im Besonderen (siehe speziell den letz- 
ten Absatz bzgl. „bewusste Nutzung”). 
Hier wird anhand von Facebook” erläu- 
tert, wie diese Plattformen im Grundsatz 
funktionieren: 

In den meisten Fällen bezahlt man 
keinen Cent für eine Mitgliedschaft, 
obwohl den Anbietern hohe Kosten ent- 
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stehen (nämlich z. B. Rechenzeit - und 
somit Energiekosten, die zur Verfügung 
gestellte Hardware, die Programmierer 
und das übrige Personal zur Aufrechter- 
haltung des Dienstes, usw.), und trotz- 
dem ist es für die Anbieter kein Zusatz- 
geschäft, sondern sie werden regelrecht 
reich dabei. Anhand des Beispiels von 
Facebook wird verdeutlicht, dass alles, 
was man an Information hinterlässt 
(und sei es nur ein „Gefällt mir“-Klick) 
auch etwas wert ist. Die Annahme, dass 
die eigenen „Banalitäten”, die man von 
sich gibt, ruhig jedermann lesen kann, 
und dass sie sowieso niemanden inter- 
essieren (außer dieeigenen Freunde, für 
die man es schreibt), ist somit eindeutig 
falsch. Hiermit wird deutlich gemacht: 
Man bietet damit als Gegenleistung 
nichts anderes als eben diese Daten. Sie 
sind nachweislich in der Summe viele 
Milliarden Dollar wert! Auf Nachfrage, 
woher denn das Geld kommt, antworten 
viele Schüler denn auch prompt: „Wer- 
bung”. Diese zweisilbige Antwort wird 
dann aber vom Dozenten noch etwas 
erläutert. 

Mit den älteren Schülern wird ab- 
schließend gern noch folgender Ver- 
gleich diskutiert, der auch in den No- 
tizen der entsprechenden Power-Point- 
Folie allen Dozenten zur Verfügung 
gestellt wird: 

„Wenn man das Verhältnis eines Bau- 
ern, der auf dem Markt sein Gemüse ver- 
kauft, mit Facebook, dessen Mitgliedern 
und der Werbeindustrie vergleicht, dann 
hat Facebook die Rolle des Bauern, die 
Werbeindustrie die Rolle des (zahlenden) 
Kunden und man selbst (als Facebook- 
Mitglied) die Rolle des Gemüses. Viele 
glauben, dass sie Kunden wären, was 
aber absolut nicht der Fall ist. Das bedeu- 
tet nicht automatisch, dass man deshalb 
schlecht behandelt wird, so wie auch ein 
Bauer sein Gemüse hegt und pflegt, aber 
ermacht es, um es zu ernten und Geld da- 
mit zu verdienen. ”?° 


Ablauf einer Veranstaltung 


Wenn eine Schule einen Dozenten der 
Initiative DSgzS bereits kennt, zum Bei- 
spiel weil erin den vergangenen Jahren 
schon die Vorträge an der Schule gehal- 
ten hat, dann kann sie sich direkt an ihn 
wenden. In solchen Fällen informiert 
der Dozent dann die AK-Schule-Assis- 
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tenz, über die alle DSgzS-Veranstaltun- 
gen organisiert werden. Die Informati- 
on darüber, dass es diese Initiative gibt 
und wo man Bedarf für eine DSgzS-Ver- 
anstaltung anmelden kann, kann aus 
unterschiedlichsten Quellen kommen: 
Einerseits kann sie aus den vielen Pub- 
likationen hierzu vom BvD z. B. in den 
BvD-News kommen oder auch über die 
spezielle DSgzS-Seite (dsgzs.de) oder 
über andere Medien, die von der Initi- 
ative berichten (z. B. Klicksafe, oder 
auch die Nachrichtensendungen von 
ARD oder ZDF - siehe das oben erwähnte 
Beispiel „Ein Vorfall, der die Initiative in 
die Nachrichten brachte”). Andererseits 
kann es aber auch sein, dass das DSgzS- 
Angebot sich von Schule zu Schule he- 
rumspricht, denn manchmal gehen Ge- 
schwister in unterschiedliche Schulen 
und Eltern aus einer Schule schlagen 
eine DSgzS-Veranstaltung dann an einer 
anderen Schule vor. 

Sofern eine Schule einen Dozenten 
sucht, geht die Anfrage über die AK- 
Schule-Assistenz, und dort wird übli- 
cherweise ein Dozent, der seinen Wohn- 
sitz oder sein Arbeitsumfeld in der Nähe 
der Schule hat, direkt gefragt. Falls 
es keinen in der Nähe gibt oder dieser 
aus anderen Gründen den Termin nicht 
wahrnehmen kann, informiert die AK- 
Schule-Assistenz alle abgenommenen 
Dozenten der Initiative. In den aller- 
meisten Fällen findet sich jemand, der 
den Termin übernehmen kann. In sel- 
tenen Fällen kann es auch vorkommen, 
dass eine Anfrage nicht zufriedenstel- 
lend beantwortet werden kann. 

Nachdem der Kontakt zwischen dem 
Dozenten und der Schule zustande ge- 
kommen ist, werden weitere Planungs- 
details besprochen. Dazu gehören die 
jeweiligen Voraussetzungen wie z. B.: 
Die Schule stellt einen Klassenraum mit 
Beamer und Leinwand zur Verfügung, 
und der Dozent bringt einen Laptop mit 
der erforderlichen Software, den digi- 
talen Vortragsfolien sowie ggf. einen 
Lautsprecher für die Filme mit. 

Außerdem müssen weitere Rahmen- 
bedingungen besprochen werden wie: 


« Parkmöglichkeiten für den Dozenten - 
z. B. auf dem Lehrerparkplatz? 

« Treffpunkt mit dem Lehrer/Ansprech- 
partner der Schule - z. B. Lehrerzim- 
mer. 
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« Länge einer Veranstaltung: jeweils 
etwa 90 Minuten (möglichst am Stück 
- ohne Pause). 

Es muss bei jeder DSgzS-Veranstal- 
tung mindestens ein Lehrer der Schu- 
le die volle Zeit mit anwesend sein. 
Am Ende einer DSgzS-Veranstaltung 
soll ein Fragebogen ausgefüllt wer- 
den, der einerseits für die BvD-inter- 
ne Statistik die Anzahl und die Jahr- 
gangsstufe der Schüler enthält, der 
andererseits den Lehrern aber auch 
die Möglichkeit gibt, ein Feedback für 
die Veranstaltung selbst zu geben. 
Sofern eine längere Anreise erforder- 
lich ist, muss ggf. mit der Schule die 
Übernahme der Fahrtkosten - oderin 
seltenen Fällen auch die Übernahme 
der Übernachtungskosten bespro- 
chen werden. Das ist keine Pflicht, 
aber wenn ein Dozent hier etwas er- 
stattet haben möchte, muss das vor- 
her mit der Schule abgeklärt werden. 
Unabhängig von den Fahrtkosten fällt 
für Lehrer- und Elternveranstaltun- 
gen seitens des BvD eine Pauschale 
von 150,00 € an, von denen 100,00 € 
(netto) an den Dozenten weitergege- 
ben werden. 

Falls mehrere DSgzS-Veranstaltungen 
an einem Tag stattfinden (das ist so- 
gar der Normalfall, damit sich die 
Anreise lohnt - und außerdem sollen 
häufig alle Klassen eines oder mehre- 
rer Jahrgänge geschult werden), dann 
ist es wichtig, dass alle beteiligten 
Lehrer und Schüler rechtzeitig darü- 
ber informiert werden. Dazu mehr un- 
ter „Es ist nicht alles Gold, was glänzt 
- Unterschied zwischen Theorie und 
Praxis”. 

Sofern der Dozent einer der Mentoren 
der Initiative ist und weitere inter- 
essierte Dozenten zum Zuhören oder 
zum „Abnehmen“ eines eigenen Vor- 
trags mitbringen möchte, ist auch das 
mit der Schule zuvor abzustimmen. 


Die eigentliche Durchführung einer 
DSgzS-Veranstaltung verläuft dann 
nach einer kurzen Vorstellung - meis- 
tens gibt es ein paar einleitende Worte 
seitens des Lehrers, bevor dieser dann 
an den Dozenten übergibt - über die di- 
gitale Präsentation. Das soll aber nicht 
heißen, dass die Schüler die gesamten 
90 Minuten nur zuhören müssen, denn 
das wäre sehr anstrengend, bis langwei- 


lig. Es wird immer versucht, die Schüler 
durch Fragen des Dozenten mit in die 
jeweiligen Themen aktiv einzubinden. 
Außerdem gibt es zur Auflockerung 
(und Information) auch viele kurze 
Filmbeiträge, über die dann anschlie- 
ßend gern und manchmal auch viel 
diskutiert wird. Oft wird (z. B. in den 
abschließend auszufüllenden Frage- 
bögen) vorgeschlagen, dass man viel- 
seitigere Unterrichtsmethoden (z. B. 
Gruppenarbeiten) mit vorsehen sollte. 
Das geht jedoch aufgrund der kurzen 
Zeit nicht. Es ist ein Unterschied zwi- 
schen dem Vorgehen eines Referendars, 
der genau solche unterschiedlichen 
Unterrichtsmethoden lernen und ein- 
setzen soll - und deswegen nach einer 
Unterrichtsstunde von einem Lehrer be- 
urteilt wird - und dem Stil eines exter- 
nen Dozenten, der in möglichst kurzer 
Zeit möglichst viel von seinem Thema 
vermitteln soll. Speziell junge Lehrer 
bzw. Referendare, die aktuell noch in 
der Ausbildung sind, verwechseln das 
gern mal und setzen die Maßstäbe im 
Beurteilungsbogen an, die sie aus ih- 
rer Ausbildung selbst erfahren haben. 
Der AK Schule hat sich diesbezüglich 
auch mit Medienpädagogen auseinan- 
dergesetzt, die bestätigt haben, dass so 
etwas wie eine Gruppenarbeit in einer 
DSgzS-Veranstaltung aus Zeitgründen 
unangebracht wäre. Im Grundsatz ist 
aber die Art des Vortrags den Dozenten 
freigestellt. Falls sich also ein Dozent 
im Einzelfall mal auf eine Gruppenarbeit 
einlässt, dann ist das auch in Ordnung, 
solange er dabei nur das Große und Gan- 
ze einer DSgzS-Veranstaltung nicht aus 
dem Blick verliert. 

Nach der Einführung in den Daten- 
schutz und den Themen der Übersichts- 
folie, die wie beschrieben kaum vollstän- 
dig besprochen werden können, kom- 
men ein paar Schlussfolien mit weiteren 
Tipps. Am Ende werden die Webcam-Sti- 
cker verteilt, und ein Lehrer bekommt 
das „Lehrerhandout” ausgehändigt. Im 
Anschluss wird oft - nach dem offiziel- 
len Ende der Veranstaltung und somit 
meist in der Pause des Dozenten - noch 
mit einigen Schülern das eine oder an- 
dere persönlich vorgetragene Problem 
besprochen, das so vor der Klasse nicht 
diskutiert werden sollte. Auch die Leh- 
rer wenden sich gern noch mit ein paar 
eigenen Worten (oder auch Problemen) 
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an die Dozenten, bevor sie sich dann ver- 
abschieden, und nicht selten auch, um 
schon eine weitere Veranstaltung für das 
Folgejahr zu vereinbaren. 


Es ist nicht alles Gold, was glänzt - 
Unterschied zwischen Theorie und 
Praxis 


In der Theorie würde man erwarten, 
dass einem Angebot wie den DSgzS- 
Veranstaltungen von den Schulen, die 
diese buchen, mit der entsprechenden 
Aufmerksamkeit begegnet wird. 

Um es vorweg zu nehmen: Die meisten 
Schulen bzw. deren Ansprechpartner 
(oft die Schulleitung oder ein engagier- 
ter Lehrer aus dem Bereich der Infor- 
matik oder einem anderen Fachgebiet 
mit Bezug zur Medienkompetenz) wis- 
sen das Engagement der Datenschüt- 
zer auch zu würdigen und geben sich 
entsprechend Mühe, dass alles wie zu- 
vor vereinbart funktioniert. Auch die 
Schüler bedanken sich in aller Regel 
ausdrücklich am Ende eines Vortrages 
und nutzen gern die Gelegenheit wei- 
tere Fragen zu stellen. Teilweise werden 
die einleitenden oder abschließenden 
Worte auch vom Direktor oder dessen 
Stellvertreter gesprochen, um der Ver- 
anstaltung zusätzliche Bedeutung zu 
verleihen, und manchmal? wird zusätz- 
lich der Rundfunk, die Presse oder auch 
das Fernsehen zu einer DSgzS-Veran- 
staltung eingeladen. 

Es ist auch keine Selbstverständ- 
lichkeit, dass Fachleute - egal welcher 
Zunft - ihren Job in Schulen ehrenamt- 
lich ausführen, für den sie ansonsten 
ordentlich entlohnt werden. Man kann 
davon ausgehen, dass es vorwiegend 
erfahrende Datenschützer sind, die sich 
an dieser Initiative beteiligen, ohne bei 
diesem Anlass zusätzliches Geld zu ver- 
dienen. Eventuell wird dieses Engage- 
ment der Dozenten in den Schulen nicht 
immer vollumfänglich wahrgenommen. 
Und möglicherweise wird dieses „um- 
sonst” zur Verfügung gestellte Angebot 
dahin gehend von manchen falsch ver- 
standen, dass so etwas (Billiges) auch 
nicht viel wert sein kann und entspre- 
chend wenig Rücksicht/Aufmerksam- 
keit erfährt. 

Der Unterschied zwischen Theorie 
und Praxis ist tatsächlich in der Praxis 
oft größer als in der Theorie. 
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Hierzu ein paar Beispiele: 


Eine regelmäßig wiederkehrende Dis- 
kussion kommt zum Thema „Pause“ 
auf. Vereinbart wird immer, dass es 
sich um eine 90-Minuten-Veranstal- 
tung ohne Pause handelt, denn eine 
noch so kurze Pause bringt sehr viel 
Unruhe und ist nie nach der vorge- 
sehenen Zeit zu Ende. Immer gibt es 
Nachzügler, die erst später wieder in 
den Raum kommen, was dann jedes 
Mal erneut ablenkt. Es ist klar, dass 
90 Minuten auf die Dauer speziell für 
die jüngeren Schüler sehr lang sind, 
aber eine DSgzS-Veranstaltung hört 
jeder Schüler nur einmal. Bei den 
Veranstaltungen, bei denen 90 Mi- 
nuten wie vereinbart durchgeführt 
werden, funktioniert das gut. Die 
Schüler brechen nicht zusammen. Die 
DSgzS-Veranstaltung ist schließlich 
kein normaler Unterricht, sondern 
ein „Event“ für die Schüler. Es werden 
keine Hausaufgaben aufgegeben, und 
es wird danach (seitens der DSgzS-Do- 
zenten) auch keine Arbeit darüber ge- 
schrieben. Jeder kann also entspannt 
zuhören, und wenn er will, kann er 
sich auch beteiligen - oder auch nicht 
und dann nur zuhören. 

Dieser und manche der folgenden 
Punkte haben oft damit zu tun, dass 
die betreuenden Lehrer manchmal 
nicht diejenigen sind, mit denen die 
Absprachen zuvor getroffen wurden. 
Sie sind nicht die Organisatoren der 
Veranstaltung, teilweise nur halb- 
herzig dabei und haben ein Problem 
damit, wenn es eine Abweichung von 
dem üblichen Unterrichts-Prozedere 
gibt. 

Es sollte schon aus rechtlichen Grün- 
den” eine Selbstverständlichkeit 
sein, dass bei jeder DSgzS-Veranstal- 
tung auch ein Lehrer der Schule dabei 
ist, und so wird es auch immer zuvor 
vereinbart. Falls für eine DSgzS-Ver- 
anstaltung mehrere Klassen zusam- 
mengelegt werden, stehen auch meh- 
rere Lehrer zur Verfügung. In solchen 
Fällen fängt manchmal zu Beginn der 
Veranstaltung die Diskussion darü- 
ber an, wer dabeibleiben „muss” und 
wer jetzt eine Freistunde hat. Wenn 
es nur eine Klasse ist, dann gibt es 
diese Diskussion nicht, aber auch in 
solchen Fällen kam es schon vor, dass 


der Lehrer von einer Freistunde (für 
sich) ausging. In manchen Fällen ist 
der Unmut über die nun doch nicht 
zur Verfügung stehende Freistunde 
so groß, dass der Lehrer zunächst flu- 
chend den Raum verlässt - um dann 
anschließend widerwillig (vermutlich 
nach Rücksprache mit dem Sekreta- 
riat oder der Schulleitung) zurück 
zu kommen und sich dazu zu setzen. 
Falls ein Lehrer zu Beginn der Stunde 
beim Dozenten nachfragt, ob eranwe- 
send sein muss, wird dies jedenfalls 
klar mit „ja” beantwortet, sofern er 
der einzige anwesende Lehrerist. 

Ein ähnliches Thema ist die Pünkt- 
lichkeit, mit der die Stunden begon- 
nen werden. Die Dozenten kommen 
immer mindestens 30 Minuten vor 
Beginn der Veranstaltung, um in 
Ruhe aufbauen und alles (Laptop- 
Anschluss an den Beamer, Lautspre- 
cher, ...) testen zu können. Je nach 
Gepflogenheiten an der Schule kom- 
men die Schüler und manchmal auch 
die Lehrer regelmäßig mit deutlicher 
Verspätung an. Manchmal ist das 
nur ein Versehen, weil die jeweiligen 
Fachlehrer und auch die Schüler erst 
kurzfristig von der Abweichung des 
normalen Stundenplans (und ggf. 
des anderen Raums) erfahren haben. 
Manchmal ist es aber an einer Schule 
auch einfach üblich, dass der Gong zu 
Beginn einer Stunde nicht wirklich 
als „Anfang“, sondern eher als „wir 
können jetzt mallangsam das Pausen- 
brot zu Ende essen?” und uns dann auf 
den Weg machen“ interpretiert wird. 
Der eine Autor war einmal im Jahr 
2012 für eine ganze Woche (Montag 
bis Freitag) an einer Schule in Darm- 
stadt, an deran jedem dieser Tage drei 
DSgzS-Veranstaltungen hintereinan- 
der (also pro Tag 6 Schulstunden) mit 
einer Gesamtzahl von 769 Schülern 
in den 5 Tagen durchgeführt wurden. 
In der anschließenden Woche gab es 
dann noch einen Elternabend mit 60 
Teilnehmern. Folgende Kommenta- 
re hatte sich der Autor notiert - und 
fragt sich heute, warum er das damals 
nicht abgebrochen hat: 


° Tag 1,1. Veranstaltung: „Die Veran- 
staltung hat 15 Min. zu spät ange- 
fangen, weil Lehrer/Schüler nicht 
informiert waren.” 
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o 


Tag 1, 2. Veranstaltung: „Auch die- 
se 2. Veranstaltung fing gut 10 Min. 
zu spät an, weil eine der beiden 
Klassen am Anfang fehlte.” 


o 


Tag 1, 3. Veranstaltung: „Auch im 
3. Durchgang wurde wieder etwa 5 
Min. zu spät angefangen (1. Schul- 
tag nach den Ferien.)” 


o° 


Tag 2, 1. Veranstaltung: „Eigentlich 
waren 2 Klassen vorgesehen. Klasse 
6a fehlte - keiner wusste warum.” 


o° 


Tag 2, 2. Veranstaltung: „Diesmal 
waren beide Klassen am Anfang 
nicht anwesend. Es wurde mit etwa 
15 Min. Verspätung begonnen.” 
Der Dozent erinnert sich, dass er 
damals nach ein paar Minuten, die 
er allein im Klassenraum nach dem 
Gong wartete, ins Sekretariat ging, 
weil er der Meinung war, dass hier 
etwas nicht stimmen konnte. Er 
wurde aber nur verständnislos an- 
gesehen und ihm wurde erklärt, 
dass die Schüler und Lehrer sicher 
bald kommen würden - was dann 
ja auch geschah. Verwundert, oder 
gar peinlich berührt, war jedenfalls 
niemand. 


o° 


Tag 2, 3. Veranstaltung: „Abwei- 
chungen vom Plan. Klasse 6a war 
für morgens geplant. Beginn wurde 
wieder um gut 10 Min. verzögert.” 


o 


Tag 3, 1. Veranstaltung: „Ab hier 
wurden die üblichen 10 Min. Ver- 
spätung als normal betrachtet.” 


Der andere Autor hat einmal während 
eines Vortrages an einer Schule in 
Dessau eine längere Diskussion zwi- 
schen dem Vertretungs-Lehrer, der 
für die Vertretung der Vertretung der 
ursprünglich geplanten Lehrerkraft 
im Einsatz war (und dieses wohl auch 
erst 15 Minuten vorher mitbekommen 
hatte) und den darum herumsitzen- 
den Schülern verfolgt, die sich zur 
ständig steigernden Belustigung der 
meisten Schüler sehr lautstark über 
die Sinnhaftigkeit und auch die Güte 
des Vortrages ausließen. Dieses führ- 
te zu einem (entgegen der üblichen 
Gewohnheit des Dozenten) extrem 
kurzen Vortrag und einem recht ab- 
rupten Ende. Einer der Schüler kam 
zum Ende der Veranstaltung und ent- 
schuldigte sich für die Klasse und den 
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Lehrer (keine Selbstverständlichkeit 
bei 7.-Klässlern). 


Aber im Großen und Ganzen sind sol- 
che Situationen doch eher die Ausnah- 
me, die Schüler wie auch die Schule und 
die Lehrkräfte sind dankbar für die und 
zufrieden mit den Vorträgen und die Do- 
zenten meist nach den Vorträgen zwar 
geschafft (niemand sollte unterschät- 
zen, wie anders und mitunter auch wie 
anstrengend Vorträge vor und mit Kin- 
dern und Jugendlichen sein können) 
aber auch mit sich, der Welt und ihrem 
ehrenamtlichen Engagement im Reinen. 


DSgzS in Zeiten von Corona 


Dieser Artikel wurde in großen Teilen 
in den letzten Tagen des Jahres 2020 ge- 
schrieben. Der Impfstoff war inzwischen 
freigegeben, aber eine Mutation des Vi- 
rus war aufgetaucht, von der man noch 
nicht viel wusste. Es gab also ein Licht 
am Ende des Tunnels, aber die Stim- 
mung war trotzdem nur verhalten posi- 
tiv. Im Jahr 2020 gab es bedingt durch 
Corona ab März nur noch sehr wenige 
DSgzS-Veranstaltungen, wie auch bis- 
her im Jahr 2021. 

Im Herbst wurde überlegt, ob auch 
DSgzS-Veranstaltungen online durchge- 
führt werden könnten. Die Sprecher des 
AK Schule? haben sich mit den Mitglie- 
dern des AK Schule dazu ausgetauscht 
und diese Frage intensiv diskutiert. Sie 
waren sich einig, dass sie selbst keine 
DSgzS-Veranstaltung online durchfüh- 
ren wollen, weil diese Veranstaltungen 
durch Fragen an die Schüler und die 
jeweiligen Antworten sehr von der In- 
teraktion leben. Bei der Disziplin, die 
Online-Meetings beanspruchen, wenn 
nicht alle durcheinanderreden wollen, 
ist eine typische DSgzS-Veranstaltung 
kaum denkbar. Andererseits sollten On- 
line-Veranstaltungen aber auch nicht 
ausgeschlossen werden. 

Es wurde schließlich den einzelnen 
Dozenten überlassen, selbst zu ent- 
scheiden, ob sie die Anfrage einer Schu- 
le zu- oder absagen sollten. Im Jahr 
2020 wie auch im laufenden Jahr 2021 
gab es sowieso nur sehr wenige Anfra- 
gen, oft nur mit langem Vorlauf in der 
Hoffnung, dass sich die Situation bis 
dahin deutlich entspannt hat, was dann 
oft zu nachträglichen Absagen seitens 


der Schulen führte, weil das Virus nach 
wie vor da war. Es wurde jedoch darauf 
hingewiesen, dass man im Falle einer 
Online-Veranstaltung ein paar zusätzli- 
che Punkte prüfen müsste: 


« Wer bestimmt das Tool, mit dem die 
Online-Veranstaltung durchgeführt 
wird? Der BvD bietet dafür eine Mög- 
lichkeit, die auch für DSgzS-Veran- 
staltungen genutzt werden können. 
Schulen haben aber evtl. ihr eigenes 
Tool, das sie auch nutzen wollen (oder 
evtl. nutzen müssen). 


Funktioniert die Präsentation auch 
für den Fall, dass ein für den Dozen- 
ten neues Tool für das Online-Meeting 
genutzt wird? 


Funktionieren auch die Filme, die 
während einer DSgzS-Veranstaltung 
gezeigt werden, mit dem Tool der 
Schule? 


Insgesamt muss das alles zu einem 
Testtermin vor der eigentlichen Ver- 
anstaltung ausprobiert werden, damit 
man während der echten DSgzS-Ver- 
anstaltung keine bösen Überraschun- 
gen erlebt. 


Und so hat es einige Dozenten ge- 
geben, die mal mehr und mal weniger 
erfolgreich das Online-Format getestet 
haben. Aber die meisten Aktiven der 
Initiative sind sich einig, dass sie sich 
auf die Zeiten freuen, in denen wieder 
reguläre DSgzS-Veranstaltungen mög- 
lich sind. 


Vision für die Zukunft 


Wie oben unter „Stand heute” bereits 
angedeutet, entspricht das langfristige 
Ziel der Initiative und des AK Schule 
dem der Entwicklungshilfe entliehenen 
Konzept®! der „Hilfe zur Selbsthilfe“. 
Gemeintist damit, dass so ein Projekt ir- 
gendwann zu Ende geht und dann trotz- 
dem (also ohne diese Hilfe) allein wei- 
terlaufen soll. Drastischer ausgedrückt: 
Man hat die Aufgabe, sich überflüssig zu 
machen. 

Noch ist dieses Ziel nach inzwischen 
über 10 Jahren DSgzS nicht erreicht, 
aber es gibt durchaus Lichtblicke. 

Mit Art. 57° Abs. 1 lit. b DSGVO ist 
eine der Aufgaben der DS-Aufsichtsbe- 
hörden folgendermaßen beschrieben: 
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„Unbeschadet anderer in dieser Ver- 
ordnung dargelegter Aufgaben muss jede 
Aufsichtsbehörde in ihrem Hoheitsgebiet 
[...] die Öffentlichkeit für die Risiken, 
Vorschriften, Garantien und Rechte im 
Zusammenhang mit der Verarbeitung 
sensibilisieren und sie darüber aufklären. 
Besondere Beachtung finden dabei spezi- 
fische Maßnahmen für Kinder;” 

Die oben beschriebene gute Zusam- 
menarbeit zwischen den DS-Aufsichts- 
behörden und DSgzS ist daher kein 
Zufall und wird sich sicher noch weiter 
intensivieren. Es gab auch Aufsichts- 
behörden, die schon vor der DSGVO ein 
entsprechendes eigenes Programm in- 
itiiert hatten (z. B. Rheinland-Pfalz), 
so dass DSgzS-Veranstaltungen in die- 
sen Bundesländern naturgemäß selte- 
ner waren. Das hindert aber weder die 
Aufsichtsbehörden noch die Initiative 
daran trotzdem gemeinsame Aktionen 
durchzuführen (z. B. die Aktionstage 
zum Safer Internet Day - siehe oben). 

Neben der Unterstützung durch die 
Aufsichtsbehörden bei großen Veran- 
staltungen (wie z. B. zu Dozententa- 
gen) gibt es immer mehr Mitarbeiter 
von Aufsichtsbehörden, die sich aktiv 
an DSgzS-Schulungen beteiligen (also 
nicht nur der Chef selbst). Das Konzept 
zur Freigabe der Dozenten durch die 
Mentoren der Initiative wurde daher in 
Bezug auf Mitarbeiter von Aufsichts- 
behörden dahingehend gelockert, 
dass diese nicht explizit freigegeben 
werden müssen. Das ist in Bezug auf 
Aufsichtsbehörden auch angemessen, 
denn eine Freigabe durch einen Men- 
tor der Initiative (der ja meistens auch 
DSB im Zuständigkeitsbereich der Auf- 
sichtsbehörde ist) hätte langfristig ein 
„Geschmäckle“. Dass sich der ehemali- 
ge Chef des BayLDA dieser Prozedur un- 
terzogen hat, war aber trotzdem eine 
schöne Geste. 

Durch die Corona-Pandemie gab es ei- 
nennie dagewesenen Schub in Richtung 
Homeoffice und in Bezug auf Schulen 
und Schüler auf „Homeschooling“. Die 
seit vielen Jahren angekündigte, aber 
immer wieder vernachlässigte Förde- 
rung der „Digitalisierung“ wurde daher 
in den Jahren 2020/2021 endlich (wenn 
auch ursprünglich ungeplant) vorange- 
trieben. Eng damit verbunden ist jedoch 
der korrekte Umgang mit personenbe- 
zogenen Daten, auch wenn für manche 
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der Datenschutz eher als Hemmnis für 
die Digitalisierung empfunden wird und 
nicht als deren wesentlicher Bestand- 
teil. Das Feedback der meisten Schüler 
und Lehrer bestätigt jedoch immer wie- 
der, dass die Beherrschung der Technik 
zwar eine notwendige, aber keine hin- 
reichende Voraussetzung für den kor- 
rekten Umgang untereinanderist. 

In diesem Sinne bleibt zu hoffen, dass 
die Corona-Pandemie den Ruck in die 
Gesellschaft gebracht hat, den der ehe- 
malige Bundespräsident Roman Herzog 
in anderem Zusammenhang einmal für 
Deutschland gefordert hat. 


1 Die Verwendung männlicher Sprache 
erfolgt im Interesse von Klarheit, Kürze 
und Einfachheit verbunden mit der 
Bitte, nicht das grammatische Maskuli- 
num auf das biologische Geschlecht zu 
reduzieren. 


2 BvD steht für „Berufsverband der Daten- 
schutzbeauftragten Deutschlands (BvD) 
e.V.“, www.bvdnet.de 


3 Gemeint sind hier nicht die technischen, 
organisatorischen oder rechtlichen 
Details, sondern hauptsächlich die 
Grundaussage, dass man vorsichtig sein 
sollte, wenn man sowohl eigene als auch 
fremde Daten (im Internet) streut. Man 
sollte immer im Hinterkopf behalten, 
dass dies auch andere Personen lesen 
können als die eigentlichen Adressaten 
der Veröffentlichung. 


4 „TOM“ steht im Datenschutz für „tech- 
nische und organisatorische Maßnah- 
men”. Aus den hier genannten Gründen 
werden diese Themen in einer DSgzS- 
Veranstaltung nur kurz angerissen. Zur 
Vertiefung dieser Themen reicht die Zeit 
einer DSgzS-Veranstaltung nicht aus, 
aber jeder Schule wird ein (kostenloses) 
Lehrerhandout überlassen (siehe oben 
unter „Stand heute”), das von der DSgzS- 
Seite auch als PDF heruntergeladen 
werden kann. 


5 https://land-der-ideen.de/ 


6 https://www.klicksafe.de/ueber- 
klicksafe/ safer-internet-day/ 


7 Die Initiative DSgzS hat in der Liste der 
Dozenten eine größere Anzahl von „Kar- 
teileichen” - also Dozenten, die zwar 
anfangs Interesse gezeigt haben und 
dann auch von einem Mentor als Dozent 
bestätigt wurden, sich aber danach 
kaum noch bei Anfragen zu DSgzS-Ver- 
anstaltungen gemeldet haben. 


8 Gemeint ist hier und im folgenden Text 
mit „der Autor“ immer mindestens einer 
der beiden Autoren dieses Artikels. 


9 Bayrisches Landesamt für Datenschutz- 
aufsicht (BayLDA) - URL: https://www. 
lda.bayern.de/ 


10 Herr Kranig ließ sich dazu, wie jeder 
andere Dozent auch, von einem Mentor 
von DSgzS als Dozent „freigeben“. 


11 Landesbeauftragter für Datenschutz 
und Informationsfreiheit Baden-Württ- 
emberg (LFDI BW) - URL: https://www. 
baden-wuerttemberg.datenschutz.de/ 


12 https:/ /lfd.niedersachsen.de/ 
startseite/ 


13 DAME steht für „Datenschutz Medien- 
preis“ - URL: https://www.bvdnet.de/ 
datenschutzmedienpreis/ 


14 Unabhängiges Landeszentrum für 
Datenschutz Schleswig-Holstein - URL: 
https://www.datenschutzzentrum.de/ 


15 Liste der Sponsoren: https://www.bvd 
net.de/wp-content/uploads/2016/11/ 
DsgzS_Sponsoren.pdf 


16 https://www.bvdnet.de/wp-content/ 
uploads/2016/11/DsgzS_Sponsoren.pdf 


17 Unsere Renten sind also wirklich sicher. 


18 Linkliste für Schüler: https://www.bvd 
net.de/wp-content/uploads/2017/10/ 
linkliste_dsgzs_schueler.pdf, Linkliste 
für Lehrer/Eltern: https://www.bvdnet. 
de/wp-content/uploads/2017/10/ 
linkliste_dsgzs_lehrer_eltern.pdf 


19 https://www.klicksafe.de/ - Auszug 
aus dem Impressum: „Die Website www. 
klicksafe.de ist Bestandteil der Ini- 
tiative klicksafe im CEF (Connecting 
Europe Facility) Telecom Programm der 
Europäischen Union für mehr Sicherheit 
im Internet. Die EU-Initiative klicksafe 
ist politisch und wirtschaftlich unab- 
hängig und wird in Deutschland von den 
Medienanstalten in Rheinland-Pfalz 
(Koordinator) und in Nordrhein-Westfa- 
len umgesetzt.” 


20 https://www.bvdnet.de/datenschutz- 
geht-zur-schule/lehrerhandout/ 


21 Auch 2021 muss der Dozententag 
online stattfinden, da die als Incentive 
gedachte Sommerakademie des ULD im 
Jahr 2021 abgesagt wurde. Aber alle gute 
Dinge sind drei, wir planen es nun für das 
Jahr 2022, nach Kiel zu gehen. 


22 „gGmbH“ steht für „gemeinnützige 
Gesellschaft mit beschränkter Haftung” 
https://www.bvdnet.de/privacy4people- 
gesellschaft-zur-foerderung-des- 
datenschutzes-ggmbh/ 


23 Neben der Initiative DSgzS gehört auch 
der oben bereits erwähnte „Datenschutz 
Medienpreis“ (DAME) zu den Zwecken, 
die von der „privacy4people” gefördert 
werden. 


24 Eine Schulstunde dauert im Normalfall 
45 Minuten, eine Doppelstunde daher 
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90 Minuten. Manchmal sind noch kurze 
Pausen von 5 Minuten vorgesehen, die 
aus Zeitersparnisgründen möglichst 
nicht genommen werden. Die Unterbre- 
chung wäre in der Praxis deutlich mehr 
als diese vorgesehenen 5 Minuten, und 
die Zeit ist sowieso sehr knapp. Meistens 
gibt es keine Diskussion darüber, aber 
manchmal muss die Pause auch genom- 
men werden. 


25 Am Anfang von DSgzS waren noch viele 
Schüler bei SchülerCC, SchülerVZ und 
anderen sozialen Netzwerken, die es 
heute gar nicht mehr gibt. 


26 Nach Redaktionsschluss sind wir noch 
auf das folgende Interview mit dem BfDI 
Prof. Kelber gestoßen, dessen Aussage 
sehr ähnlich ist: Datenschutzbeauftrag- 
ter im Kinder-Interview - »Ihr seid nicht 
die Kunden, ihr seid die Ware« 
www.spiegel.de/deinspiegel/ 
datenschutzbeauftragter-ihr-seid- 


Dr. Joachim Paul 


nicht-die-kunden-ihr-seid-die- 
ware-a-93563519-0002-0001-0000- 
000177426669 


27 Speziell zum jährlich stattfindenden Safer 
Internet Day (SID) gibt es oft viele Aktivi- 
täten an Schulen, zu denen dann teilweise 
auch die Medien eingeladen werden. 


28 Die Schule und somit der jeweils betreu- 
ende Lehrer hat eine Aufsichtspflicht. 
Das gilt nicht für den Dozenten, der 
nur als Gast an der Schule ist. Falls es 
einen Vorfall gibt (z.B. könnte einem 
Schüler schlecht werden oder es könnte 
ein anderes gesundheitliches Problem 
auftreten) weiß nur der Lehrer an wen 
man sich in so einem Fall zu wenden hat 
bzw. wie damit umzugehen ist. 


29 Wobei man sich auch in Erinnerung ruft, 
dass man beim Essen ja nicht hetzen soll. 


30 Es gibt einen Sprecher und zwei Stellver- 
treter. Die beiden Stellvertreter sind die 
Autoren dieses Artikels. 


31 Der eine Autor war selbst 6 Jahre im 
Rahmen der Entwicklungshilfe an einem 
Fischereiforschungsinstitut in Mar del 
Plata, Argentinien, beschäftigt. Der 
Informatik-Bereich, den er damals auf- 
gebaut hatte, existiert bis heute. 


32 Was man aus Sicht der Autoren auch von 
jedem guten Berater erwarten sollte. 


33 Aufgaben der Aufsichtsbehörden, 
https://www.datenschutz-wiki.de/ 
DSGVO:Art_57 


34 Die Berliner Rede war eine vom dama- 
ligen deutschen Bundespräsidenten 
Roman Herzog am 26. April 1997 in 
Berlin gehaltene öffentliche Ansprache. 
Die von Herzog in dieser Rede gewählte 
Formulierung „durch Deutschland muss 
ein Ruck gehen” ließ diesen Vortrag als 
Ruck-Rede in die Geschichte eingehen. 


Schule digital: Bildungsmedien für Schulen - 
bundesweites Kuddelmuddel 


Medienplattformen könnten Lernplattformen mit guten Lerninhalten versorgen, allerdings herrscht auch hier viel 
Chaos. Joachim Paul kommentiert, was fehlt!. 


Die Coronavirus-Pandemie und der 
damit einhergehende Wechsel zum Di- 
stanzlernen haben deutlich gezeigt, 
dass die bislang von Bund, Ländern 
und Kommunen aufgebaute digitale 
Bildungsinfrastruktur in Deutsch- 
land bisher nicht in der Lage war die 
Ausfälle des Präsenzunterrichts ent- 
sprechend zu überbrücken. Dass die 
vollständige Katastrophe ausblieb, ist 
ein weiteres Mal dem Einsatz von Lehr- 
kräften zu verdanken. Ihnen wird re- 
gelmäßig vorgeworfen, sie seien größ- 
tenteils Digitalmuffel. Dass sie nun das 
ausbaden mussten, was Politikerinnen 
und Politiker in den vergangenen Jah- 
ren versäumt haben, ist aber mehr als 
klar. 


Fehlender digitaler Bildungscontent 


Unerledigte Hausaufgaben und feh- 
lender politischer Mut sind den Lan- 
despolitiken zuzuschreiben, der Kul- 
tusministerkonferenz KMK sowie der 
Bundespolitik. Deren Defizite zeigen 
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sich nicht nur im zu späten oder un- 
zureichenden Ausbau und Betrieb von 
Lernplattformen, wie verschiedent- 
liche Zusammenbrüche und Überlas- 
tungsphänomene von mehreren Platt- 
formen belegen, sie liegen - und das 
soll hier Thema sein - auch in der Be- 
schaffung und Bereitstellung von qua- 
litätsgeprüftem digitalen Bildungscon- 
tent für den Kontext Schule. 

Meine These: Es ist alles schon da 
und das seit Jahren. Das Geld sollte 
nur an der richtigen Stelle ausgege- 
ben werden. Die bereits vorhandenen 
Angebote sollten entsprechend geför- 
dert, ausgebaut und auch verknüpft 
werden. Da dies nicht der Fall ist, füh- 
ren einige Kritiker gern den Föderalis- 
mus als einzig Schuldigen an. Das ist 
jedoch eine Nebelkerze. Denn Kommu- 
nikationsprobleme rangieren hier aus 
meiner Sicht über den Strukturproble- 
men. Und wäre eine klare Strategie da, 
erledigten sich auch Reibungsverluste 
und die Förderung fruchtloser Doppel- 
strukturen. 


Wo sind die Inhalte? 


Beginnen wir von vorne: Sehrlange Zeit 
wurde die Digitalisierung der Schulen von 
der Bundespolitik wesentlich mit der Aus- 
stattung mit Hardware, WLAN und Netz- 
anschlüssen gleichgesetzt. Mit Hardware 
ausgestattet wurde zwar zum Teil, aber 
auch das nur unzureichend. Erst während 
der Pandemie, so scheint es, wurde auf 
Bundesebene zusätzlich bemerkt, dass 
Bildungsinhalte ebenfalls zählen, dass - 
ins Analoge übertragen - Klassenzimmer 
ohne Medienregale oder Schultafeln ohne 
Kreide einfach nicht sinnvoll sind. Daher 
wurden hierfür weitere Mittel aus dem Di- 
gitalpakt? bereitgestellt. 

Aber was haben hier die Länder und 
der Bund im Angebot? Was gibt es bereits 
und wo setzen Bund und Länder mit der 
Schaffung weiterer Angebote an? 


Versteckte Inhalte und Plattformen 


Recht leistungsfähige Plattformen für 
die Distribution von digitalen Bildungs- 
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medien speziell für Schulen gibt es in al- 
len 16 Bundesländern, und das teilweise 
seit mehr als 15 Jahren, bereitgestellt 
entweder vom jeweiligen Bundesland 
oder durch Kommunen oder kommunale 
Kooperationen. Denn für die Beschaf- 
fung von Sachmitteln für Schulen - dazu 
gehören auch die digitalen Medien - sind 
die Schulträger zuständig, also die Kom- 
munen. Diese kaufen digitalen Content 
allerdings nur für den eigenen Bereich. 
Die Nutzungslizenzen der Medien sind 
daher auf die eigene Kommune oder 
das eigene Bundesland beschränkt, die 
Medien sind also keinesfalls bundesweit 
oder gar frei verfügbar. 

Diese Plattformen sind zudem nicht 
im allgemeinen Bewusstsein und oft 
leider auch nicht im Blick der Bundes- 
politik. Sie tauchen selten bis nie in 
der überregionalen Berichterstattung 
zu Bildung und Digitalisierung auf. 
Die Aufmerksamkeit der Medien ge- 
hört hier in schöner Regelmäßigkeit 
dem Nutzen von Youtube in Schulen 
oder den Mediatheken der großen Sen- 
der. Die bundesweiten Aktivitäten der 
Politik konzentrieren sich zugleich - 
getragen von der Kultusministerkon- 
ferenz der Länder (KMK) sowie vom 
Bundesministerium für Bildung und 
Forschung (BMBF) - unkoordiniert auf 
die Bereitstellung von zwei Suchma- 
schinen für sogenannte freie Bildungs- 
materialien. 


Doppelt gemoppelt und bislang ohne 
Schnittstellen 


Blicken wir also zunächst in Rich- 
tung Bund. Um Lehrkräften den Zugriff 
auf digital und frei verfügbares Lehr- 
und Lernmaterial zu erleichtern, wur- 
den zwei Plattformen im Rahmen des 
Digitalpakts Schule gegründet. Zum 
einen „WirLernenOnline” (kurz WLO), 
zum anderen „MUNDO“, ein länderge- 
meinsames Projekt und realisiert vom 
FWU Institut für Film und Bild in Wis- 
senschaft und Unterricht GmbH, dem 
Medieninstitut der Länder, im Auftrag 
der KMK. Was sie bisher leisten ist aber 
sehr fragwürdig. 

Während die Bundesregierung auf „zwei 
leistungsfähige OER-Suchmöglichkeiten” 
verweist, diagnostiziert der Journalist 
Christian Füller unter dem Titel „Zwei 
Plattformen sind eine zu viel”? im Tages- 
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spiegel folgerichtig eine Konkurrenz um 
die Aufmerksamkeit der Lehrkräfte und 
berichtet, dass Frau Ministerin Karliczek 
vom Bundesministerium für Bildung und 
Forschung es gut findet, „wenn sich An- 
gebote für das Onlinelernen ergänzen”. 
Aufmerksamkeit aber - zumal die der 
Lehrkraft - ist ein knappes Gut. 
Was können also diese Plattformen? 


Wir lernen online 


Wir Lernen Online ist schon seit März 
2020 online und ein Produkt einer Kon- 
sortialgemeinschaft, bestehend aus 
dem Verein edu-sharing.net e.V., der 
Wikimedia und dem Bündnis Freie Bil- 
dung im Community-Management. Ne- 
ben der Suchfunktion gibt es bei WLO 
auch schulfachspezifische Portale. Die 
Oberfläche sieht ansprechend aus und 
vermittelt den Eindruck der leichten 
Bedienbarkeit, die Funktion „Filter“ al- 
lerdings hat esin sich. 

Die Suchtreffer zu einem Stichwort 
können nach Schulfächern, Altersstu- 
fen, Medienarten, Bezugsquellen und 
Schlagworten nachträglich gefiltert 
werden, wobei nur die Filterkriterien 
angeboten werden, die in der aktuellen 
Suchtrefferliste auch tatsächlich vor- 
handen sind - der Vorteil einer indexba- 
sierten Suche. In vielen Länderportalen 
ist das allerdings längst Standard. Unter 
den Bezugsquellen findet sich nicht sel- 
ten sogar Youtube. 

Ein Portal, das Youtube nach Bil- 
dungsinhalten durchsucht? Das macht 
Sinn. Wenn nicht in so einigen Youtu- 
betreffern Werbeeinblendungen wären. 
In Schulen ist das ein absolutes No-Go. 
Ließe man das offiziell und mit staatli- 
cher Förderung zu, dann wäre das der 
Durchschlag der neoliberalen Version 
der Aufmerksamkeitsökonomie in den 
Schutzraum Schule. Hier müssen die 
Portalbetreiber nachbessern. Das ist 
möglich, denn es ist filterbar, ob ein 
Youtube-Kanal auf Werbeeinblendun- 
gen setzt oder nicht. 


Open Educational Resources 


Bei WLO wird die OER-Philosophie of- 
fensiv vertreten. Für Nicht-Insider: Die 
Abkürzung OER steht für „Open Edu- 
cational Resources”. Darunter werden 
freie Lern- und Lehrmaterialien mit 


einer offenen Lizenz wie etwa Creative 
Commons oder GNU General Public Li- 
cense in Anlehnung an den englischen 
Begriff für Freie Inhalte, open content, 
verstanden. 

Daher gibt es über der Suchwortein- 
gabe einen Schiebeschalter, über den 
die Funktion „zeige mir nur OER” akti- 
viert werden kann. Angezeigt werden 
dann ausschließlich Treffer, deren Me- 
dien unter einer Creative Commons Li- 
zenz stehen. Checks mit verschiedenen 
Stichworten zeigen, dass sich die An- 
zahl der Suchtreffer für echte OER-Me- 
dien im Schnitt auf ein Zehntel bis ein 
Fünftel reduziert. Das ist enttäuschend, 
jedoch nicht der Suchmaschine anzu- 
lasten. Aber warum das so ist, das muss 
diskutiert werden. 


Hier gibt es nichts zu sehen 


Die Eingabe des Stichworts „Vogel“ 
bei WLO liefert 480 Treffer, auf Platz 6 
gar den „Vogel des Jahres 2016”, ein 
Wissenshappen vom ZDF, präsentiert 
von Harald Lesch (Stand 17.04.2021). 
Ein Klick auf den Link führt zur ZDF- 
Mediathek und dort zu der Meldung 
„Diese Seite wurde leider nicht gefun- 
den - Der von Ihnen gewünschte Inhalt 
ist nicht mehr vorhanden“. Das ist eine 
Folge des gültigen Staatsvertrages, der 
den Sender anweist, Inhalte nur für eine 
bestimmte Zeit in der Mediathek vorzu- 
halten. Nun ist aber die Frage an WLO 
berechtigt - wenn man schon auf eine 
indexbasierte Suche statt eine Echtzeit- 
suche in externen Repositorien setzt - 
wie oft der Index aktualisiert wird. Fakt 
ist: Derselbe ins Leere führende Treffer 
wird im konkreten Fall mehrere Wochen 
lang angezeigt. Lehrkräfte, die etwas 
suchen, nehmen solche Leerläufe übel, 
wenn sie öfter auftreten. 

Des weiteren verblüfft die Relevanz- 
sortierung der Treffer. Bei so manchen 
Stichworten, zum Beispiel „Igel“ oder 
„Elefant“, fällt es schwer, darin irgend- 
einen Sinn oder ein System zu entde- 
cken. Außerdem sind die Datensätze 
zur Beschreibung der Medien, die soge- 
nannten Metadaten, oft nicht sauber. 


MUNDO 


MUNDO ist ein Teil von SODIX, das 
als Projekt die von der KMK formulier- 
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ten Herausforderungen über zentrale, 
service-orientierte und landesspezi- 
fisch anpassbare Lösungen adressiert. 
Die Kultusministerkonferenz der Länder 
setzt mit ihrer im Dezember 2016 ver- 
öffentlichten Strategie „Bildung in der 
digitalen Welt“ verbindliche Maßstäbe 
für die Digitalisierung der Bildungssys- 
teme der Länder und benennt in diesem 
Zusammenhang auch konkret die Anfor- 
derungen an eine zu entwickelnde Bil- 
dungsmedieninfrastruktur. Dazu gehö- 
ren 1. die allgemeine Auffindbarkeit von 
Bildungsmedien, 2. allgemeine und je- 
derzeitige Verfügbarkeit von Bildungs- 
medien, 3. allgemein verbindliche tech- 
nische Schnittstellen und 4. öffentliche 
Dokumentation. 

Das heißt: Für MUNDO ist zumindest 
die Möglichkeit der Integration in Län- 
dersysteme nicht nur in Aussicht ge- 
stellt, sie ist obligatorisch, denn sie ist 
Gegenstand eines Auftrags der KMK. 

Die Oberfläche von MUNDO ist ver- 
gleichbar mit WLO ansprechend gestaltet 
und bietet auch vergleichbare Funktio- 
nen. Ebenso wie bei WLO gibt es Filter für 
Schulfächer, Schulstufen, Medienarten 
und Lizenzarten, die CC-Lizenzen sind 
hier sogar feiner gerastert. Auch hier 
wird versucht, die Vorteile einer indexba- 
sierten Suchevollauszuschöpfen. Bei Zu- 
schaltung eines Filters wird unmittelbar 
die Anzahl der verbleibenden Treffer an- 
gezeigt. Allerdings sucht man bei vielen 
Stichworten vergeblich nach einer sinn- 
vollen Relevanzsortierung, ebenso wie 
bei WLO. Wie bewerten Lehrkräfte das? 


Gute Idee, schlecht umgesetzt? 


Am 18. September 2020 - zu diesem 
Zeitpunkt waren noch nicht alle heu- 
te verfügbaren Funktionen realisiert 
- veröffentlicht der Deutschlandfunk 
einen Beitrag „Bildungsportal MUNDO 
im Lehrercheck“°. Eine Lehrerin und ein 
Lehrer aus Berlin, sie für Englisch und 
Russisch, er für Mathematik, probierten 
das Portal aus. Ihre Kommentare reich- 
ten von „kenne ich schon“ über „das ist 
wie Youtube“ bis hin zu „das sind nur 
Links”. Die Lehrerin bemängelte zusätz- 
lich das Fehlen von Aufgabenstellungen 
und Fragen. Und der Mathematiklehrer 
ergänzte: „Also ich brauche diese Meta- 
Ebene nicht. Ich kann mir dieselben Sa- 
chen auch ergoogeln.” 
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MUNDO erneut nutzen würden beide 
nicht. Das ist vernichtend. Und es darf 
behauptet werden, dass bei WLO das 
Urteil ähnlich ausgefallen wäre, denn 
beide Systeme sind im Wesentlichen 
Sammlungen von Internetlinks. Die um- 
fangreichen und komfortablen Filter- 
funktionen beider Systeme können die 
inhaltliche Armut des Angebots nicht 
kaschieren, so bleiben sie vielmehr 
technischer Ausdruck politischer Hilf- 
und Konzeptlosigkeit. Wo es nicht viel 
gibt, kann nicht viel gefunden werden. 


Die „Meta”-Strategie der Bundesre- 
gierung 


In der Antwort auf eine Anfra- 
ge der FDP (15.09.2020, Drucksache 
19/224776)° zu freien Bildungsres- 
sourcen erwähnt die Bundesregierung 
- Scherz am Rande: Unter Angabe eines 
falschen Links - ein weiteres Projekt na- 
mens Jointly, über das Kooperationen 
und Expertenworkshops zu OER-Themen 
finanziert werden. 

Im Bereich OER-IT der Projektwebsite 
findet sich ein kurzes Video mit verschie- 
denen Statements der an dem Projekt 
beteiligten Personen, in dem mehrfach 
der Wunsch der Schaffung eines zent- 
ralen Adressbuches zur Auflistung von 
Repositorien geäußert wird. Genau das 
aber wollen WLO und MUNDO ja leisten. 
Insofern ist die Frage zu stellen, wo 
denn was schiefläuft oder unzureichend 
bleibt. Das Engagement und die Ernst- 
haftigkeit der an Jointly beteiligten 
Fachmenschen soll ausdrücklich nicht 
in Zweifel gezogen werden, im Gegenteil. 
Aber die Frage bleibt, was von den dort 
erarbeiteten Konzepten denn in die Tat 
umgesetzt wird, und zwar so, dass es in 
Schulen auch ankommt. Hier zeigt sich 
ein weiteres Mal, die Förderung durch die 
Bundespolitik ist mehr so meta. 


OER ist nicht gleich OER 


Ein Problem liegt darin, dass versucht 
wird, unter dem Label OER Vieles über 
einen Kamm zu scheren. Denn der Be- 
griff bedient sehr unterschiedliche Be- 
reiche. So ist beispielsweise die Produ- 
zierendenstruktur in universitären Kon- 
texten eine völlig andere als in schuli- 
schen Bezügen. Für Universitäten und 
Hochschulen gibt es kaum extern Pro- 


duzierende wie etwa Schulbuchverlage. 
Der Löwenanteil der Inhalte kommt von 
den Lehrkräften der Hochschulen. Und 
von den Studierenden darf durchaus er- 
wartet werden, dass sie über genügend 
Selbstlernkompetenz verfügen, sich 
nicht passgenaues außeruniversitäres 
Material für ihre Lernprozesse selbst- 
ständig zunutze zu machen. 

Eine Strategie zur Förderung von OER 
an Hochschulen tut ganz sicher Not und 
verdient eigene Beiträge, sie passt aber 
nicht für den schulischen Kontext, denn 
dort herrschen andere Randbedingun- 
gen. So greift die schulische Lehrkraft für 
die Gestaltung von Lernprozessen in der 
Regel auf extern produzierte und aufbe- 
reitete Bildungsmedien zurück - wie 
Schulbücher oder anderweitige Medien - 
und passt diese Inhalte den aktuellen Er- 
fordernissen der Lernprozesse und ihrer 
Lernendenkreise an. Erst jetzt wird die 
Lehrkaft auch - in gewissem Sinn - zum 
Autoren ihrer Unterrichtsstunde, sie be- 
ginnt jedoch, was die Medien angeht, so 
gut wie nie bei Null. Und sie ist angewie- 
sen auf gutes vorgefertigtes Material, auf 
bildungsmediale Knetmasse. 


Kreis- und Landeslizenzen 


Ein weiterer Punkt ist: Es gibt quali- 
tiativ hochwertiges digitales Bildungs- 
material, das kommerziell produziert 
wurde. Man findet es in den bereits er- 
wähnten Distributionsplattformen der 
Länder und Kommunen. Der bundes- 
weiten Bereitstellung steht allerdings 
entgegen, dass Kommunen und Länder 
diese Medien nur für die Schulen im ei- 
genen Bereich lizenzieren, als Kreisli- 
zenzen oder Landeslizenzen. 

Eine wichtige Frage an die Bundes- 
regierung lautet also: „Was wäre denn 
notwendig, damit eine Öffnung dieser 
Landeslizenzen für die Nutzung in Schu- 
len im gesamten Bundesgebiet möglich 
ist?” Für einen konkreten Antwortvor- 
schlag muss ein Blick auf den Markt der 
Bildungsmedien geworfen werden. 


Der Markt der Bildungsmedien und 
die Digitalisierung 


Dieser Markt ist durch seine Geschich- 
te und durch die Medienarten und ihre 
technisch sehr unterschiedlichen Be- 
schaffenheiten - auf der einen Seite 
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Bücher, auf der anderen Filme und Vi- 
deo - und durch ihre Verfügbarkeiten 
bestimmt. Er besteht daher für die Nut- 
zung im Kontext Schule und völlig aus 
der Zeit gefallen aus zwei immer noch 
stark voneinander getrennten Berei- 
chen: Dem Schulbuchmarkt und dem 
Markt für digitale Bildungsmedien mit 
audiovisuellen Inhalten, der aus dem 
Markt für den klassischen Unterrichts- 
film hervorging. 

Die Nutzungsmöglichkeit der Medi- 
en im Bildungskontext wird in diesem 
Marktbereich in Deutschland durch das 
System der kommunalen und Landes- 
medienzentren gewährleistet und ist ge- 
setzlich verankert. Stellvertretend und 
als Beispiele seien hier zwei Bundeslän- 
der angeführt. Die Situation in den an- 
deren vierzehn Ländern ist vergleichbar. 

Nach 879 des Schulgesetzes des Lan- 
des Nordrhein-Westfalen ist die Lehr- 
mittel- und Medienbereitstellung eine 
Pflichtaufgabe der Schulträger, also 
der Kommunen, die Verleih- und On- 
linebereitstellung ihren Medienzentren 
übertragen. Der zuständige Paragraph 
im Schulgesetz des Freistaats Bayern 
trägt ebenfalls die Nummer 79 und im- 
mer noch den Titel „Bildstellenwesen”. 
Bildstellen, so hießen die Medienzent- 
ren früher - sehr viel früher. 


Ungleiche Verteilung 


Die Größe dieses Bereichs entspricht 
daher in etwa den summierten Beschaf- 
fungsbudgets der Medienzentren im 
Bundesgebiet und kommt bestenfalls 
auf eine zweistellige Millionensumme. 
Dem gegenüber besitzt der bundes- 
deutsche Schulbuchmarkt ein Gesamt- 
volumen von etwa 700 Millionen Euro. 
Bedingt durch die unterschiedlichen 
Bereichsgrößen in Euro ergibt sich eine 
stark divergierende Struktur der Unter- 
nehmen und Akteure. 

Während der Schulbuchmarkt mit 
insgesamt etwa 80 Verlagen durch ein 
Oligopol von drei großen Verlagen be- 
stimmt ist, die etwa 90 Prozent des Um- 
satzes generieren, besteht der Markt der 
digitalen Bildungsmedien aus ebenfalls 
etwa 80 jedoch kleineren mittelstän- 
dischen Unternehmen mit zwei bis 20 
Mitarbeitenden, mit Ausnahme des Me- 
dieninstituts der Länder, des FWU mit 
etwa 50 Mitarbeitenden. 
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Innovationsdruck 


Die Digitalisierungsprozesse üben 
und übten einen erheblichen Innovati- 
onsdruck auf diese Marktbereiche, die 
Unternehmen und Distributionsstruk- 
turen aus. Der zunehmende Einsatz von 
digitalen Lernplattformen und Lernma- 
nagementsystemen (LMS) wirkt aktuell 
zusätzlich als Katalysator, denn beim 
Lernenden und auf dessen Endgeräten 
laufen die Medien letztlich zusammen. 
Dies stellt hohe technische Anforderun- 
gen an die Distributionssysteme - so 
sind Schnittstellen zu LMS als obliga- 
torisch zu betrachten - sowie an die Si- 
cherung der Wahrung der Urheberrechte 
der Content-Produzenten in Form leis- 
tungsfähiger Lizenzverwaltungen und 
an den Datenschutz der Nutzerinnen 
und Nutzer. Der Bildungsbereich mit in 
der Überzahl zu schützenden Minder- 
jährigen stellt hierbei eine besondere 
Herausforderung dar. 

In der Digitalisierung und Verfügbar- 
machung von Bildungscontent hat der 
kleinere Marktbereich gegenüber dem 
Schulbuchmarkt bis dato einen erheb- 
lichen Innovationsvorsprung, dessen 
Hauptursache in einem ungleich größe- 
ren Veränderungsdruck liegt. Er begann 
mit der DVD als digitalem physischen 
Trägermedium als Nachfolger der VHS- 
Kassette und des 16mm-Films zeitlich 
sehr viel früher in den 90er Jahren. 
Hinzu kamen die zunächst verwirren- 
den Möglichkeiten für Strukturen und 
Schachtelungen durch Hypertext per 
HTML. Und schnell wurde deutlich, der 
Medieninhalt ist nicht der physische Da- 
tenträger. 


Ein digitales Bildungsmedium, 
was ist das? 


Bereits 2004, ein Jahr vor Youtubes 
Gründung - Facebook war noch nicht 
in Sicht und die Schulbuchverlage ver- 
standen unter einem digitalen Schul- 
buch eine pdf-Datei - zeigte Friede- 
mann Schuchardt wohin die Reise ge- 
hen könnte mit den Digitalmedien. Der 
damalige Geschäftsführer der Matthias- 
film GmbH, einem Medienproduzenten 
der evangelischen Kirche, stellte eine 
sogenannte „DVD educativ” mit dem Ti- 
tel „Luther“ vor. Das Multimediaprodukt 
enthält den kompletten Spielfilm Luther 


von Eric Till aus dem Jahr 2003, unter 
anderem mit Joseph Fiennes, Sir Peter 
Ustinov und Bruno Ganz in Hauptrollen. 
Der Film ist in voller Länge aber auch 
einzeln kapitelweise aufrufbar. Jedes 
Kapitel enthält zudem Fragen, Arbeits- 
blätter und eine Vielzahl an Zusatzin- 
formationen in Form von Audiodateien 
und Texten, auch zu historischen Quel- 
len. Interviewsequenzen mit einigen 
Schauspielern zu ihren Rollen runden 
das Produkt ab. Luther war ein weit über 
den Spielfilm hinaus umfassendes Mul- 
timediaportrait der Reformationszeit, 
in Schulen vielfältig in Gänze als auch 
in Teilen/Modulen einsetzbar in den 
Fächern Geschichte, Sozialkunde, Phi- 
losophie und Religion. 

Dem vorangegangen war bei Matthias- 
film ein vergleichbares, jedoch nicht so 
umfangreiches Produkt: „Das Tagebuch 
der Anne Frank“, basierend auf dem 
gleichnamigen Spielfilm von Gareth Da- 
vies aus dem Jahr 1987. Das Begleitma- 
terial dieser DVD enthielt etwa als his- 
torisches Highlight eine bis dato unver- 
öffentlichte digitalisierte Version einer 
kurzen 8mm-Schmalfilmaufnahme aus 
dem Privatleben von Anne Frank. 

Das FWU in Grünwald bei München 
hatte da schon eine Pilot-Produktion 
mit dem Titel „Die Alpen”, basierend 
auf dem Träger CD-ROM präsentiert, 
ein Multimediaprodukt rund um die 
Alpen, das die unterschiedlichen As- 
pekte dieser geographischen Region, 
von der Ökologie über die Landwirt- 
schaft bis hin zum Tourismus, für den 
Erdkundeunterricht beleuchtete. Die 
Struktur des Mediums entsprach in 
etwa der einer Mindmap mit netzarti- 
gen Verknüpfungen. 

Heute gibt es eine Vielzahl von unter- 
schiedlichsten multimedialen Produk- 
ten zu allen schulischen Themen; von 
„Was ist Zeit?”, einem Grundschulme- 
dium für den Sachunterricht, über „Die 
französische Revolution“, „Atombau 
und Atommodelle“, „Proteinbiosyn- 
these“, „Gesunde Ernährung” bis hin 
zu „Fake News” - alle ausgestattet mit 
zahlreichen Begleitmaterialien und mit 
einer thematischen Tiefe, die von ent- 
sprechenden Kapiteln in Schulbüchern 
nur selten erreicht wird. Durch den 
Wegfall der Schuljahresrhythmiken und 
Drucklegungen im Produktionsprozess 
weisen diese Medien gegenüber den 
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Schulbüchern oft auch eine erheblich 
höhere Aktualität auf. 


NRW: Digitales Intermezzo mit 
Lexikon 


Was dementsprechend deutlich ver- 
wirrt, sind Entscheidungen, wie sie in 
diesem Jahr exemplarisch vom Schul- 
ministerium in Nordrhein-Westfalen 
getroffen wurden: Als das Ministerium 
für Schule und Bildung des Landes 
NRW am 18. Februar 2021 bekannt gab, 
dass es 2,6 Millionen Euro „für mehr di- 
gitale Lernmittel an den Schulen” aus- 
gebe, darunter für 1,6 Millionen Euro 
eine Drei-Jahres-Lizenz des Online- 
Lexikons Brockhaus für alle Schulen in 
NRW, löste dies sowohl auf Twitter als 
auch in der Presse Verwunderung aus. 
Im Deutschlandfunk wurde etwa die 
Frage gestellt: „Viel Geld für Bildung 
ohne Nachhaltigkeit?” 

In Zeiten von frei verfügbaren Quellen 
wieWikipedia, Klexikon und vielfältigen 
Übersetzungswerkzeugen ist der Erwerb 
einer zeitlich auf drei Jahre begrenzten 
Lizenz ganz sicher merk- und fragwür- 
dig. Aber die auf Twitter und andernorts 
vielfach hingeworfene Forderung nach 
uneingeschränkter Förderung von OER 
ist es ebenso, wie das Beispiel Jointly 
und die beiden Suchmaschinen zeigen. 
Hier ist ein genauer Blick auf die Ange- 
bote besser. 


Eine mögliche Zukunft - Distanz- 
lernen, digitale Medien und politi- 
sches Wollen 


Ein Digitalpakt Schule, der den Na- 
men wirklich verdient, muss die Be- 
reitstellung digitaler Bildungsinhalte 
für Schulen und die Förderung ihrer 
Produktion zum integralen Bestandteil 
einer gemeinsamen Strategie von Bund, 
Ländern und Kommunen machen. Diese 
sollte nicht nur das Ausstattungspro- 
blem adressieren und sich wie BMBF 
und KMK es tun, darauf beschränken, 
gleich zwei Suchmaschinen für OER- 
Materialien zu fördern und zu hoffen, 
dass die OER-Inhalte quasi von selbst 
entstehen. 

Es sollten Nägel mit Köpfen gemacht 
werden. Das könnte heißen: Unterneh- 
men werden gefragt - diejenigen, die 
alle Rechte auch an den internen Bild-, 
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Audio-, Text- und Videobestandteilen 
ihrer Medien halten - , was es denn kos- 
ten würde eines ihrer Medien unter eine 
CC-Lizenz zu stellen und es damit zu 
einem bundesweit frei verfügbaren OER- 
Bildungsmedium zu machen. Selbst- 
verständlich hätte das seinen Preis, 
denn es entspricht einem kompletten 
Buy-Out des Mediums. Auf der Basis sol- 
cher Quellen und mit diesen Quellen als 
mediale Knetmasse könnten Lehrkräfte 
aber dann - selbstverständlich unter 
Einhaltung der Zitationsregeln und der 
Anerkennung fremder Urheberschaften 
(CC-BY-SA) - weitere OER-Medien und 
Lernprojekte zum jeweiligen Thema pro- 
duzieren und frei zur Verfügung stellen. 
Und so ganz nebenbei würden dadurch 
auch übergreifende Kooperationen 
zwischen Lehrkräften angeregt, eine 
bundesweit offene Szene, ein virtueller 
Makerspace für Bildungsmedien. Die 
OER-Trefferlisten in MUNDO und WLO 
sähen dann in wenigen Jahren völlig 
anders aus. 

Und wie bewerten wir, was gefördert 
und gekauft werden soll? Erstens leis- 
tet sich das Bundesland Baden-Würt- 
temberg seit Jahren eine 40-köpfige 
Fachkommission zur Bewertung sol- 
cher Titel. Zweitens gibt es seit Jahren 
den Comenius-EduMedia-Award. Man 
muss solche Entscheidungsgremien nur 
deutlich ausbauen, anpassen und auf- 
bohren. Das könnte ebenfalls für mehr 
verfügbare Inhalte sorgen. 

Und wo findet man eigentlich diese 
mehrfach erwähnten Landesportale, 
diese Landesinfrastrukturen, die bereits 
ihre Lager füllen? Zwei Forderungen 
der KMK lauten ja „1. allgemeine Auf- 
findbarkeit von Bildungsmedien”“ und 
„4. öffentliche Dokumentation”. Eine 
Lösung dazu wäre also zum Beispiel 
die Erstellung einer einfachen Linkliste 
auf einer an zentraler Stelle gehosteten 
Webseite mit guter Sichtbarkeit. Das 
fiele - als Kooperation der Länder - in 
den natürlichen Aufgabenbereich der 
KMK. Dort findet man aber tiefversteckt 
in der Website hinter dem Begriff „Dis- 
tanzlernen“® nach Bundesländern sor- 
tiert nur eine Liste unterschiedlicher 
Services, einen wilden Mix aus diversen 
Plattformen und Projekten mit unter- 
schiedlichsten Funktionen. Von da aus 
muss man sich länderweise durchkli- 
cken. Medienrepositorien? Fehlanzeige. 


Hier müsste also die KMK ihren eigenen 
Forderungen nachkommen und etwas 
aufsetzen. 

Zum Stichwort Föderalismus bleibt - 
wie schon am Anfang erwähnt - zu er- 
gänzen: Zugrunde liegt hier nach mei- 
ner Auffassung in erster Näherung ein 
Kommunikationsproblem. Das Kommu- 
nikationsproblem ließe sich durch eine 
klar ausformulierte Medien-Strategie 
sicherlich besser beheben, an einem 
runden Tisch mit der KMK und dem 
Bundesministerium für Bildung und 
Forschung. Die vielen verschiedenen 
Portale, Suchmaschinen und Anbieter 
könnten dann richtig zusammengeführt 
und für Lehrkräfte und Lernende ge- 
winnbringend geöffnet werden. 

Ein sachproblemorientierter großer 
runder Tisch ohne persönliche oder par- 
teipolitische Eitelkeiten wäre vonnöten, 
um Medienportale stringent aufzubau- 
en, auszustatten und zu vernetzen. Die 
Zukunft unserer Schulen, unserer Kin- 
der, unserer Gesellschaft, sollte uns das 
wert sein. 


1 Dieser Artikel ist als Bestandteil der 
Artikelserie „Schule digital” auf heise. 
de, https://heise.de/-5993043, am 
30.04.2021 unter https://heise.de/- 
6008139 veröffentlicht worden und 
wird mit freundlicher Genehmigung des 
Autors wie auch des heise Verlags hier 
abgedruckt. 


2 https://www.heise.de/news/ 
Schulplattform-Betreiber-Bei-uns- 
kommt-aus-dem-Digitalpakt-nichts- 
an-5076231.html 


3 https://www.tagesspiegel.de/wissen/ 
mundo-und-wirlernenonline-zwei- 
plattformen-sind-eine-zu-viel/ 
26845814.html 


4 https://www.kmk.org/fileadmin/pdf/ 
PresseUndAktuelles/2018/ 
Digitalstrategie_2017_mit_ 
Weiterbildung.pdf 


5 https://www.deutschlandfunk.de/ 
digitale-unterrichtsmaterialien- 
bildungsportal-mundo-im.680. 
de.html?dram%3Aarticle_id=484365 


6 https://dip21.bundestag.de/dip21/ 
btd/19/224/1922477.pdf 


7 https://www.deutschlandfunkkultur. 
de/digitale-lehrmittel-in-nrw- 
viel-geld-fuer-bildung-ohne.1264. 
de.html?dram%3Aarticle_id=493216 


8 https://www.kmk.org/themen/ 
bildung-in-der-digitalen-welt/ 
distanzlernen.html 
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Professor Ulrich Kelber 


Sündenbock Datenschutz - Argumente gegen das 
reflexartig bemühte Standardargument 


Gastbeitrag BfDI in DANA - Corona, Warn-App und Datenschutz 


Glaubt man den Aussagen mancher 
Spitzenpolitiker oder Talkshow-Teil- 
nehmer, so wäre die Corona-Pandemie 
längst im Griff, wäre da nicht dieser läs- 
tige Datenschutz, der alles bremst und 
blockiert. Sogar den raschen Fortgang 
der Impfungen soll der Datenschutz ver- 
hindern, nicht etwa die zu geringe Zahl 
verfügbarer Impfdosen. 

Als Bundesbeauftragter für den Da- 
tenschutz berate und begleite ich seit 
nunmehr einem Jahr zahlreiche Projek- 
te rund um die Bekämpfung der Pande- 
mie. Keine einzige, konkrete und reali- 
sierbare Maßnahme der Bundesregie- 
rung istiin dieser Zeit aus Gründen des 
Datenschutzes nicht umgesetzt worden. 
Für die oft in Debatten geäußerte Be- 
hauptung, der Datenschutz stünde der 
Pandemiebekämpfung im Wege, gibt es 
keinerlei Belege, sie ist aber toxisch. 
Zum einen wird damit das notwendige 
Vertrauen der Bürgerinnen und Bürger 
in ihr eigenes Grundrecht torpediert. 
Zum anderen soll dadurch wohl häufig 
nur von den eigentlichen Defiziten in 
der Pandemiebekämpfung abgelenkt 
werden. Darüber hinaus wird verkannt, 
dass der Datenschutz sehr wohl in der 
Pandemie deutliche Einschränkungen 
erfahren hat. Das zeigen beispielsweise 
der Blick in die Änderungen des Infekti- 
onsschutzgesetzes und alle derzeitigen 
Verfahren der Kontakterfassung, sei es 
beim Einkaufen oder in den geöffneten 
Museen. 


Impfen 


Beim Start der Impfungen gegen das 
Corona-Virus ist in den vergangenen 
Wochen medial in einigen Bundeslän- 
dern der Eindruck vermittelt worden, 
der Datenschutz verhindere, dass die 
Angehörigen der jeweiligen Impfgrup- 
pen über den Impfstart und die Mög- 
lichkeit der Anmeldung informiert 
würden. Das ist schlichtweg falsch! 
Statt meine Kolleginnen und Kollegen 
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aus den Ländern in die Planungen ein- 
zubinden und sich von ihnen beraten 
zu lassen, wurden so absurde Wege 
gewählt, wie die Suche nach Vorna- 
men, die vermeintlich nur von über 
Achtzigjährigen getragen werden. Den 
Datenschutz-Fachleuten wurde noch 
nicht einmal die Gelegenheit gegeben 
die verschiedenen, datenschutzrecht- 
lich unbedenklichen Möglichkeiten, 
für die Impfbenachrichtigungen auf die 
vorhandenen Meldedaten zuzugreifen, 
darzulegen. 


Corona Warn App 


Die Erfahrung zeigt: Die Akzeptanz 
von Maßnahmen wächst, wenn sie in 
Bezug auf den Schutz persönlicher Da- 
ten vertrauenswürdig sind. Die Bürge- 
rinnen und Bürger wollen ihren Beitrag 
zur Eindämmung der Pandemie leisten, 
aber nicht dabei durch den Staat oder 
Internetkonzerne überwacht werden. 

Zu Beginn der Beratungen über die 
Architektur einer Corona Warn App hat 
mein Haus gesagt: Das muss man an- 
ders machen. Zum Beispiel, als ganz am 
Anfang der Pandemie Mobilfunkzellen- 
daten verwendet werden sollten, um 
herauszufinden, wer wem begegnet ist. 
Da haben wir in der Tat unser Veto ein- 
gelegt, wenn man das so nennen will. 
Auch, weil die Funkzellenauswertung 
für diesen Zweck überhaupt nicht ge- 
eignet ist, weil die Genauigkeit oft auf 
einige hundert Meter begrenzt ist und 
trotzdem Bewegungsprofile aller Bun- 
desbürger erstellt würden. Das Ergebnis 
der Zusammenarbeit war eine App, die 
ein hohes Maß an Vertrauen genießt 
und mittlerweile mehr als 27 Millionen 
Mal heruntergeladen wurde. 

Natürlich hätte diese App schon früh- 
zeitig weiterentwickelt werden können, 
mit dem Kontakttagebuch ist das auch 
schon geschehen. Die sogenannte Clus- 
ter-Erkennung oder Check-in-Lösungen 
sind in Kürze weitere Möglichkeiten, 


die angeboten werden - datenschutz- 
freundlich implementiert. Wichtig ist 
aber die Einsicht, dass eine App allein, 
egal wie sie ausgestaltet ist, nicht der 
Heilsbringer in der Pandemie sein kann. 
Sie ist ein Baustein in einer Strategie, 
der seinen Nutzen hat, wenn auch al- 
les andere funktioniert: Das Impfen, 
das Testen, die Quarantäne, die Kon- 
taktnachverfolgung durch die Gesund- 
heitsämter, die Berechenbarkeit der be- 
schlossenen Maßnahmen. Das und nur 
das zeigen übrigens die Erfahrungen 
aus Asien, Australien und Neuseeland. 

Ein Grundrecht wie das Recht auf in- 
formationelle Selbstbestimmung aus 
Gründen kurzfristiger medialer Effekt- 
hascherei dagegen kaputt zu reden hal- 
te ich für brandgefährlich. Stattdessen 
sollten wir unsere Kräfte und unsere 
Kompetenzen bündeln, um einen guten 
Weg aus dieser Pandemie zu finden. Mit 
Konzentration auf die machbaren und 
funktionierenden Lösungen. Mein Team 
und ich stehen dafür bereit. 


Bild: iStock.com/Prostoc 
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Dr. Thilo Weichert 


Polizeirechtsreform in Schleswig-Holstein 


Bild: iStock.com/ 'janniswerner 


Die Diskussion über die Modernisie- 
rung des Polizei- und Sicherheitsrechts 
spielte in der letzten Zeit auf Bundes- 
und Länderebene eine große Rolle. Da- 
mit einher ging und geht fast überall 
eine Verschärfung der gesetzlichen Re- 
gelungen - ein Abbau an Datenschutz 
und eine Erweiterung der Verarbei- 
tungsbefugnisse der Sicherheitsbe- 
hörden (vgl. Schwerpunktheft DANA 
1/2018). 

Es ist weitgehend unstreitig, dass Ge- 
setze, die nicht mehr der technischen 
Entwicklung entsprechen, weder im 
Interesse der Sicherheit noch des Da- 
tenschutzes sind. Die Parole muss da- 
her sein: „Novellierung ja, aber Daten- 
schutzabbau nein!“ Ein Nachzügler bei 
der Gesetzgebung war Schleswig-Hol- 
stein. Während es in anderen Bundes- 
ländern teilweise heftigen Widerstand 
und eine intensive öffentliche Diskus- 
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sion gab, trat das „Gesetz zur Änderung 
polizei- und ordnungsrechtlicher Vor- 
schriften im Landesverwaltungsgesetz 
(LVwGPORÄndG)” fast geräuschlos am 
19.03.2021 in Kraft. 

Wir durften gespannt sein: Im Koali- 
tionsvertrag der Jamaika-Koalition vom 
Juni 2017 im nördlichsten Bundesland 
hatten CDU, Grüne und FDP Folgendes 
vereinbart: „Das zurzeit geltende Poli- 
zeirecht im Landesverwaltungsgesetz 
werden wirin enger Zusammenarbeit mit 
anerkannten Polizeirechtsexpert*innen 
unverzüglich einer Schwachstellen- 
analyse unterziehen, um Handlungs- 
notwendigkeiten, insbesondere im 
Bereich der Terrorismusbekämpfung 
und in Fällen der organisierten Krimi- 
nalität, zu identifizieren.” Die Erfah- 
rungen mit Sicherheitsgesetzen der 
CDU sind, dass diese regelmäßig von 
Verfassungsgerichten aufgehoben bzw. 


repariert werden müssen. Aber auch 
die Erfahrungen mit grün-gelben Re- 
gierungsbeteiligungen, etwa in Baden- 
Württemberg und Hessen (Grüne) oder 
in Nordrhein-Westfalen (FDP) sind aus 
Datenschutzsicht ernüchternd und ent- 
täuschend, weil den Verarbeitungswün- 
schen der Sicherheitsbehörden wegen 
des Nachdrucks der CDU immer wieder 
entsprochen wurde. Immerhin steht 
im Kieler Koalitionsvertrag: „Änderun- 
gen der Sicherheitsgesetze werden die 
Koalitionspartner*innen nur im Kon- 
sens vollziehen.” 


- Der Gesetzgebungsprozess 


Die politische Diskussion um das Po- 
lizeirecht in Schleswig-Holstein begann 
aus Datenschutzsicht wenig Erfolg ver- 
sprechend: Das Innenministerium des 
Landes legte im Dezember 2018 keine 
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„Schwachstellenanalyse von anerkann- 
ten Polizeirechtsexpert*innen” vor, 
sondern eine „Wünsch-Dir-was-Liste” 
aus der Polizeiabteilung mit 17 Ände- 
rungsvorschlägen zum Landesverwal- 
tungsgesetz (LVwG), in dem das Polizei- 
recht des Landes geregelt ist. In dieser 
Liste fanden sich so problematische 
Punkte wie die Vorratsdatenspeiche- 
rung, die Quellen-Telekommunikati- 
onsüberwachung (TKÜ), die Online- 
Durchsuchung, verdachtsunabhängige 
Kontrollen in der Grenzregion, die elek- 
tronische Fußfessel sowie außerhalb 
des Bereichs der Datenverarbeitung der 
Einsatz von Tasern, der sog. „finale Ret- 
tungsschuss” und der Schusswaffenein- 
satz gegen Kinder. 

Für die weitere Diskussion war es 
nicht unbedeutend, welchen Wider- 
stand es gegen Polizeirechtsverschär- 
fungen in anderen Bundesländern gab, 
namentlich in Bayern, Nordrhein-West- 
falen und Niedersachsen. Zwar gab es 
auch in Schleswig-Holstein dann einige 
wenige Proteste, die sich aber zahlen- 
mäßig im unteren zweistelligen Bereich 
bewegten. Im Sommer 2019 erfolgte 
eine erste grundsätzliche Einigung der 
Jamaika-Koalitionäre. Relevant war, 
dass die Verhandlungsführer bei der 
FDP und den Grünen bürgerrechtliche 
Positionen vertraten. Diese konnten 
sich zwar nicht durchgängig durchset- 
zen und mussten an einigen Stellen mit 
Bauchschmerzen „Kröten schlucken”. 
Doch meinte z.B. der grüne Landtagsab- 
geordnete Burkhard Peters damit leben 
zu können. 

Demgemäß wurde die Debatte über 
die Polizeirechtsreform im öffentlichen 
Raum weniger über die Datenverarbei- 
tungsbefugnisse geführt als über den 
letztlich vorgesehenen sog. finalen Ret- 
tungsschuss, der aber nicht von Vorge- 
setzten angeordnet werden darf, den 
Schusswaffeneinsatz gegen Kinder oder 
die Wegweisung bei häuslicher Gewalt. 


- Das neue Gesetz 


Vorratsdatenspeicherung, Quellen- 
TKÜ und Online-Durchsuchung konnten 
vollständig verhindert werden. Bei an- 
deren Streitpunkten konnten deutliche 
Entschärfungen durchgesetzt werden. 
So wurde bei der Identitätskontrolle im 
grenzüberschreitenden Verkehr die im 
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ersten Entwurf vorgesehene „Anlasslo- 
sigkeit” gestrichen und eine Formulie- 
rung aufgenommen, mit der explizit ein 
sog. „racial profiling” verhindert werden 
soll ($ 181 LVwG). Mit einem Vorschlag 
Kontrollquittungen nach Bremer Vorbild 
auszustellen, konnten sich die Grünen 
nicht durchsetzen. BodyCams dürfen 
in Wohnungen nur bei akuter Gefahr 
und nach Anordnung des Einsatzleiters 
eingesetzt werden ($ 184a LVwG). Die 
elektronische Fußfessel darf nur ge- 
gen terroristische Gefährder verwendet 
werden und nicht - wie ursprünglich im 
Entwurf des Innenministeriums vorge- 
sehen - auch gegen Fußballhooligangs 
oder andere Rowdies (8 201b LVwG). Ihr 
Einsatz soll nach einigen Jahren evalu- 
iert werden. 

Die Grünen schreiben sich auf die Fah- 
nen, dass auf ihre Initiative eine aus- 
führliche Regelung zum Einsatz von sog. 
Vertrauenspersonen aus dem kriminel- 
len Milieu aufgenommen wurde (8 185c 
LVwG). Ein parallel zur Diskussion über 
den Gesetzentwurf laufender parlamen- 
tarischer Untersuchungsausschuss zu 
einer sog. Rockeraffäre hatte deutlich 
gemacht, dass dieser grundrechtssen- 
sible Einsatz von V-Leuten rechtlicher 
Leitplanken bedarf, die es im Polizei- 
recht des Landes bis dahin nicht gab. 


- Kritik 


Nur die oppositionelle SPD stimm- 
te letztlich gegen den Entwurf. Deren 
Sprecherin Kathrin Bockey bemängelte 
anlässlich der abschließenden Lesung 
im Landtag, dass sie bei der V-Leute- 
Regulierung keinen echten Durchbruch 
erkennen kann. Bei der Wohnungsver- 
weisung von gewalttätigen Partnern 
hätte sie sich statt der Dauer von 4 Wo- 
chen drei Monate gewünscht ($ 201a 
LVwG). Die nicht im Landtag vertretene 
Linke bemängelte, dass Personen künf- 
tig ohne Einwilligung Blut abgenommen 
werden darf, wenn diese Beamte verletzt 
haben und dabei eine hochinfektiöse 
Krankheit übertragen haben könnten. 

In der Stellungnahme zu dem Entwurf 
hatte zuvor insbesondere die Gesell- 
schaft für Freiheitsrechte e.V. (GFF) ver- 
fassungsrechtliche Bedenken geäußert. 
Der Jurist Bijan Moini monierte die Re- 
gelungen zur Bewegungsbeschränkung 
von „Gefährdern” und die damit ver- 


bundene Vorverlagerung der Eingriffs- 
rechte. Diese Kritikpunkte zeigen, dass 
es um Einzelheiten ging, und nicht um 
die Grundsatzdiskussion über den Prä- 
ventivstaat, für den Maßnahmen wie 
Online-Durchsuchung und Vorratsda- 
tenspeicherung stehen. 


- Fazit 


Die Polizeirechtsreform in Schleswig- 
Holstein ist bemerkenswert: Waren die 
Diskussionen in den anderen Bundeslän- 
dern sowie auf Bundesebene regelmäßig 
von den informationellen Befugnissen 
der Polizei geprägt, so lag im nördlichs- 
ten Bundesland der Schwerpunkt bei 
„klassischen“ Fragen des Polizeirechts - 
der Anwendung unmittelbaren Zwangs. 
Dass die informationellen Befugnisse 
letztlich weitgehend akzeptiert wurden - 
allenfalls beim BodyCam-Einsatz in Woh- 
nungen gab es markante Abweichungen, 
liegt möglicherweise am Kompromiss, 
der parteiübergreifend gesucht und ge- 
funden wurde. Dieser Kompromiss mach- 
te es letztlich sogar Teilen der Oppositi- 
on - nicht nur der dänischen Minderheit 
des SSW, sondern auch der AfD - möglich 
dem Gesetz zuzustimmen. Die Akzeptanz 
mag auch darauf zurückzuführen sein, 
dass vom Bundesverfassungsgericht in- 
zwischen genug Entscheidungen vorlie- 
gen, über welche die Grenzen zwischen 
verfassungsrechtlich noch Zulässigem 
und polizeilich Gewünschtem als ausge- 
lotet angesehen werden können. Dass 
diese Rechtsprechung in anderen Bun- 
desländern nicht zur Befriedung geführt 
hatte, liegt wohl am Symbolgehalt des 
Polizeirechts, das als Instrument eines 
„starken Staates” verstanden wird. Die 
Debatte über den „starken Staat” spielt 
in Schleswig-Holstein schon seit Länge- 
rem keine wichtige Rolle im politischen 
Diskurs. 

Dennoch: Der Gewinn an Ausgewogen- 
heit in dem Gesetz wird erkauft durch 
einen Verlust an textlicher Klarheit: 
Der Text des verabschiedeten Gesetzes 
misst immerhin 20 eng gesetzte Seiten. 
Die Auslotung des verfassungsrechtlich 
Zulässigen führten zu vielen materiel- 
len und prozeduralen Bedingungen für 
- auch informationelle - Eingriffe. Die 
Aufgabe, solche Gesetze in der Polizei- 
ausbildung zu vermitteln, kann nicht 
hoch genug eingeschätzt werden. 
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Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit 
Baden-Württemberg - Pressemitteilung vom 07. Mai 2021 


Bildungsplattform BW: LfDI rät aufgrund hoher daten- 
schutzrechtlicher Risiken von der Nutzung der geprüf- 
ten Version von Microsoft Office 365 an Schulen ab - 

Alternativen sollten gestärkt werden 


Hintergründe und Folgen der 
Empfehlung 


Das Kultusministerium hatte vor- 
gesehen, als Teil der Bildungsplattform 
für Schulen eine speziell konfigurierte 
Version von Microsoft 365 des US-Soft- 
ware-Herstellers Microsoft zu integrie- 
ren, um Lehrern, Schülern und Eltern 
eine geeignete digitale Infrastruktur für 
Unterricht und Bildung zur Verfügung 
zu stellen. Der Landesbeauftragte für 
den Datenschutz und die Informations- 
freiheit Stefan Brink wurde vom Minis- 
terium gebeten in einem Pilotprojekt 
zur Einführung dieser Software von Mit- 
te Januar bis Ende März beratend tätig 
zu sein. 

In diesem Rahmen prüfte der LfDI die 
speziell für den Einsatz im Schulbetrieb 
konfigurierte Version des Produktes MS 
365 in einem Praxistest. Über die hierzu 
notwendige Technik verfügt der Lan- 
desbeauftragte, seit ihm Mittel für ein 
eigenes Prüflabor vom Parlament zur 
Verfügung gestellt wurden. 

Im Wesentlichen wurde geprüft, ob die 
in der Datenschutz-Folgenabschätzung 
(DSFA) des Ministeriums vom Oktober 
2020 (Pressemitteilung des Landesbe- 
auftragten „LfDI begleitet Pilotprojekt 
des Kultusministeriums zur Nutzung 
von Microsoft Office 365 an Schulen“) 
vorgeschlagenen Abhilfemaßnah- 
men zur Minimierung der Risiken der 
Microsoft-Software tatsächlich umge- 
setzt wurden und sich als ausreichend 
erwiesen; geprüft wurde auch, welche 
Datenflüsse beim Pilotbetrieb tatsäch- 
lich messbar stattfanden, insbesonde- 
re ob unerwünschte beziehungsweise 
nicht angeforderte Datenverarbeitun- 
gen, beispielsweise von Telemetrie-, 
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Diagnose- (oder anders bezeichneten) 
Daten, erkennbar waren und inwieweit 
die Verarbeitung personenbezogener 
Daten von Lehrern und Schülern zu ei- 
genen Zwecken Microsofts festzustellen 
sind. Im Rahmen dieser Prüfung wurde 
zudem untersucht, ob Daten in Dritt- 
staaten außerhalb des Geltungsbereichs 
der DSGVO fließen und ob durch eine 
sichere verschlüsselte Kommunikation 
die Möglichkeiten eines Zugriffs seitens 
des Anbieters oder Dritter wirksam ein- 
geschränkt werden konnten. 

Zu den Prüfungen im Praxistest wur- 
den in mehreren Bereichen Stichproben 
genommen. Während seiner Beratung 
war der LfDI in regelmäßigem Aus- 
tausch mit dem Kultusministerium und 
Vertretern des Software- und Dienste- 
Anbieters. 

Wenngleich die Prüfungen aufgrund 
des Umfangs und Weiterentwicklung der 
Dienste nicht abschließend sein konn- 
ten, so waren deren Ergebnisse doch 
hinreichend klar, um eine Empfehlung 
an das Kultusministerium zu richten. 

Der Landesbeauftragte Stefan Brink 
bewertet die Risiken beim Einsatz der 
nun erprobten Microsoft-Dienste im 
Schulbereich als inakzeptabel hoch 
und rät davon ab diese dort zu nutzen. 
Der Landesbeauftragte empfiehlt ferner 
die im Schulbereich vorhandenen Al- 
ternativen weiter zu stärken. 

„Schülerinnen und Schüler, Eltern 
und Lehrerinnen und Lehrer wollen 
digitale und rechtssichere Lösungen 
für den Unterricht. Wir unterstützen 
das”, so Stefan Brink. Deswegen wur- 
de mit hohem Einsatz im Rahmen des 
Pilotprojekts versucht Klarheit über 
Datenflüsse, Rechtsgrundlagen und 
technische Maßnahmen des Anbieters 


zu erlangen, was jedoch im Ergebnis 
nicht zufriedenstellend gelungen sei. 

Verantwortliche - und das sind die 
Schulen (vgl. Artikel 4 Nr. 7 DSGVO) - 
haben beim gewählten System keine 
vollständige Kontrolle über das Gesamt- 
system und den US-amerikanischen 
Auftragsverarbeiter. Sie können nach 
der Bewertung des Landesbeauftragten 
derzeit nicht ausreichend nachvollzie- 
hen, welche personenbezogenen Daten 
wie und zu welchen Zwecken verarbeitet 
werden und sie können nicht nachwei- 
sen, dass die Verarbeitung auf das für 
diesen Zweck notwendige Minimum re- 
duziert ist. Alldas müssten sie aber, um 
ihrer Rechenschaftspflicht aus Artikel 5 
Absatz 2 DSGVO gerecht zu werden. Zu- 
dem ist für einige Übermittlungen per- 
sönlicher Daten an Microsoft - teilweise 
auch in Regionen außerhalb der EU - 
keine Rechtsgrundlage erkennbar, die 
nach DSGVO aber erforderlich ist. Das 
gilt insbesondere auch für internationa- 
le Datenflüsse im Lichte des Schrems-Il- 
Urteils des Europäischen Gerichtshofs 
aus dem Jahr 2020. 

Für den Schulbereich hat der LfDI 
daher ein hohes Risiko der Verletzung 
von Rechten und Freiheiten betroffe- 
ner Personen festgestellt. Dies gilt für 
die ins Auge gefasste Erweiterung des 
Systems um Konten für die Schülerin- 
nen und Schüler umso mehr. Der Staat 
hat eine Garantenstellung für die in der 
Regel minderjährigen Schülerinnen und 
Schüler, welche zudem der staatlichen 
Schulpflicht unterliegen und daher der 
Verwendung ihrer persönlichen Daten 
nicht ausweichen können. In dieser 
Konstellation bewertet der Landesbe- 
auftragte das Risiko der eingesetzten 
Software als inakzeptabel hoch. 
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LfDI Brink: „Es erscheint zwar nicht 
gänzlich ausgeschlossen mit anderen 
Varianten der im Pilotversuch genutz- 
ten Produkte und unter wesentlich mo- 
difizierten Einsatzbedingungen damit 
im Schulbereich rechtskonform zu ar- 
beiten. Es ist in den vergangenen Mo- 
naten auch nach intensiver Zusammen- 
arbeit und mit hohem Personaleinsatz 
aber nicht gelungen eine solche Lösung 
zu finden.” Angesichts dieses Ergeb- 
nisses erscheint es mehr als fraglich, 
ob es den für die Datenverarbeitungen 
verantwortlichen Schulen, auch mit Un- 
terstützung durch das Kultusministe- 
rium, in absehbarer Zeit gelingen kann 
die getesteten Produkte rechtssicher zu 
nutzen. 

Aus Sicht des LfDI hat eine Bildungs- 
plattform durchaus weiter Zukunft. 
Sie könnte beispielsweise aus unter- 
schiedlichen Tools wie zum Beispiel Big 
Blue Button und Moodle bestehen, die 
bereits jetzt intensiv von den Schulen 
im Land genutzt werden. Da diese vom 
Land selbst betrieben werden, liegen 
damit zahlreiche im Pilotprojekt festge- 
stellte Risiken hier prinzipiell nicht vor. 

Der Landesbeauftragte wird vor den 
Sommer-Schulferien aus eigener Initi- 
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ative keine Prüfungen in Schulen mit 
der Zielsetzung einer Untersagung von 
Produkten vornehmen. Ab dem Beginn 
des neuen Schuljahres jedoch wird die 
Behörde allen dann vorliegenden Be- 
schwerden mit Nachdruck nachgehen. 
Für alle übrigen öffentlichen und pri- 
vaten Nutzer solcher Software gelten 
weiterhin die vom Landesbeauftragten 
insbesondere in seiner Handreichung 
„Schrems II - Was jetzt in Sachen inter- 
nationaler Datentransfer?” dargestell- 
ten Maßgaben, die auf der Homepage 
des Landesbeauftragten abrufbar ist: 
Alle Verantwortlichen müssen eine Risi- 
kobewertung mit Blick auf die konkret 
verarbeiteten Daten vornehmen und 
sich nachvollziehbar mit den Rechts- 
grundlagen ihrer Datenverarbeitungen 
befassen. Diese Rechtsgrundlagen un- 
terscheiden sich im öffentlichen und 
privaten Sektor zum Teil erheblich, so 
können Behörden grundsätzlich keine 
Daten auf Basis eines ‚berechtigten In- 
teresses’ verarbeiten und sind auch bei 
der Nutzung von Einwilligungen einge- 
schränkt. DerLfDI betont dabei, dass bei 
dieser Betrachtung pauschale Aussagen 
wie etwa, dass eine Software immer oder 
nie datenschutzkonform einsetzbar sei, 
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zu undifferenziert und nicht überzeu- 
gend sind. Beim Einsatz außereuropäi- 
scher Anbieter ist auch stets zu prüfen, 
ob es Alternativen gibt, die eine weniger 
risikoreiche Verarbeitung ermöglichen. 


Weitere Informationen: 


Das Kulturministerium hat das Pi- 
lotprojekt initiiert und den Projektge- 
genstand und -zeitlauf bestimmt. Etwa 
3 Monate dauerte die Praxisprüfung. 
Bereits vorher hat der LfDI verschie- 
dene Prüfungen durchgeführt, unter 
anderem im Kontext der zweiten Daten- 
schutz-Folgenabschätzung des Kultus- 
ministeriums. Diese Prüfungen des LfDI 
dienten unter anderem dazu mögliche 
Risiken zu identifizieren und frühzeitig 
Abhilfemaßnahmen zu schaffen. Nach 
der Pilotphase hat der LfDI die Ergebnis- 
se ausgewertet und in einer Stellung- 
nahme eine Empfehlung an das für die 
Bildungsplattform zuständige Ministe- 
rium abgegeben. Der LfDI war beratend 
im Pilotprojekt tätig, in diesem Rahmen 
trifft er keine Anordnungen und spricht 
keine Untersagungen aus. Diese Bera- 
tungstätigkeit ist mit der Beendigung 
des Piloten abgeschlossen. 
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Offener Brief an das europäische Parlament 
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Sehr geehrte Abgeordnete des Europäi- 
schen Parlaments, 


die unterzeichnenden Organisatio- 
nen fordern das Europäische Parlament 
nachdrücklich auf ein hohes Niveau an 
Datenschutz und Vertraulichkeit in der 
geplanten ePrivacy-Verordnung zu ge- 
währleisten und die Schwächen der ak- 
tuellen Position des Rates während der 
Trilogverhandlungen zu beheben. 

Vorvier Jahren schlug die Europäische 
Kommission die Datenschutzverord- 
nung für elektronische Kommunikation 
(ePrivacy Requlation/-Verordnung) vor, 
um die von der DSGVO begonnene Mo- 
dernisierung des EU-Datenschutzrah- 
mens abzuschließen. Um die Bedenken 
hinsichtlich der Verwendung von Coo- 
kies und anderen Tracking-Technologi- 
en auszurdumen, hat das Europäische 
Parlament folgende Bestimmungen be- 
schlossen: 
« Der Schutz von Internetnutzern vor 
Tracking und Überwachung, sei es 
durch Cookies oder andere technische 
Mittel. Das Sammeln oder Speichern 
von Daten auf dem Gerät eines Benut- 
zers ist nur mit Zustimmung des Be- 
nutzers gestattet, es sei denn, dies ist 
für den Dienst technisch erforderlich 
(Artikel 8). 
Das Verbot von Tracking- oder Coo- 
kie-Walls, die Benutzer dazu zwingen 
sollen, der Verarbeitung oder Spei- 
cherung zusätzlicher Daten im Aus- 
tausch für den Zugriff zuzustimmen 
(Artikel 8). 
« Die Entlastung der Internetnutzer 

durch technische Datenschutzein- 
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stellungen, mit denen sie die Auswahl 
von Einwilligungen automatisieren 
und rechtsverbindliche Signale von 
Hardware oder Software verwenden 
können, die an die Webseite übermit- 
telt werden (Artikel 9 und 10). Artikel 
19 legte ein Verfahren für die Spezifi- 
kation solcher Signale durch die Euro- 
päische Datenschutzbehörde fest. 


Diese Schutzmaßnahmen wurden 
vom Rat in seinem Verhandlungsman- 
dat beseitigt oder geschwächt. Artikel 8 
Abs. 1 Buchstaben a, c und d des Rates 
schaffen Unklarheiten über die für ei- 
nen Dienst „technisch erforderlichen” 
Daten und öffnen die Tür für das Tracken 
von Nutzern. Darüber hinaus wurde das 
Verbot von „Tracking-Walls“ in einen 
Erwägungsgrund verschoben und unter 
unklare Vorbehalte gestellt. 

Der Rat hat auch die Artikel 9 und 10 
gestrichen und sich von den techni- 
schen Lösungen und den Forderungen 
von Zustimmungslösungen bei Daten- 
erfassung abgewandt. Infolgedessen 
müssen sich Benutzer den anhaltenden 
Belästigungen durch Zustimmungsban- 
ner stellen, die versuchen sie mit „Dark 
Pattern“ (unethischen Webseitenmus- 
tern) zu manipulieren. Anstelle solcher 
Anfragen könnten rechtsverbindliche 
Signale treten, die vom Benutzer kon- 
figuriert wurden. Diese Lösung bleibt 
jedoch nun Wunschdenken und wird 
in einen Erwägungsgrund verwiesen. 
In Bezug auf das „Privacy by Design” 
(datenschutzfreundliche Gestaltung) 
und „Privacy by Default“ (Datenschutz 
durch Voreinstellung) haben sich die 


meisten Browser dem Schutz ihrer Be- 
nutzer verschrieben. Diese Entwicklung 
wird in der Verordnung nicht aufgegrif- 
fen; diese sollte vielmehr berücksichtigt 
werden. 

Seit das Parlament im Oktober 2017 
seinen Standpunkt festgelegt hat, wurde 
das Vertrauen der Öffentlichkeit in die 
Internetdatenverarbeitung durch den 
Skandal von Cambridge Analytica beein- 
trächtigt. Von der ePrivacy-Verordnung 
muss die klare Botschaft ausgehen, dass 
die Zukunft eher Geschäftsmodellen ge- 
hört, die Grundrechte und Innovation 
vereinen, als solchen, die ein personali- 
siertes Fahndungssystem betreiben. 

Der Standpunkt des Rates legitimiert 
stattdessen Missbräuche und Verstöße 
gegen das Datenschutzrecht und geht 
nicht auf das Vertrauensdefizit ein. Im 
Jahr 2016 stellte eine Eurobarometer- 
Umfrage fest, dass „mehr als sieben von 
zehn Internet- und Online-Plattformbe- 
nutzern der Meinung sind, dass sie über 
die im Internet über sie gesammelten 
Daten besorgt sind“. Im Jahr 2020 ha- 
ben Studien ergeben, dass ein Drittel 
der Verbraucher auf diese Bedenken re- 
agiert und bei mindestens einem Unter- 
nehmen aus Datenschutzgründen den 
Kontakt beendet hat. Dieselbe Studie 
ergab, dass weitere 87% der Befragten 
besorgt waren, dassihre Daten aufgrund 
der COVID-19-Pandemie nicht durch die 
Tools geschützt werden, die sie für die 
Arbeit im Homeoffice benötigen. 

Wir fordern das Europäische Parla- 
ment nachdrücklich auf seine Position 
zu bekräftigen und sicherzustellen, 
dass die ePrivacy-Verordnung ihre Ziele 
erreicht. Personenbezogene Daten im 
Bereich der elektronischen Kommuni- 
kation sind äußerst sensibel, da sie in- 
time Aspekte des Privatlebens von Ein- 
zelpersonen offenlegen, insbesondere 
wenn jetzt während der COVID-19-Pan- 
demie alltägliche Aktivitäten und Aus- 
tausch großteils online stattfinden. Der 
durch die DSGVO gewährte Schutz sollte 
daher ergänzt werden, indem Lücken 
geschlossen und Grauzonen aufgehellt 
werden, die von der Trackingbranche 
weitgehend missbraucht wurden, sowie 
indem zusätzliche, stärkere Garantien 
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für die Verarbeitung personenbezoge- 
ner Daten in diesem Bereich geschaffen 
werden. 

Wir fordern das Europäische Parla- 
ment auf die Stellungnahmen des Eu- 
ropäischen Datenschutzausschusses 
und des Europäischen Datenschutzbe- 
auftragten umfassend zu berücksichti- 
gen und Vorschläge oder Kompromisse 
abzulehnen, die das Schutzniveau der 
DSGVO und der aktuellen Datenschutz- 
richtlinie für elektronische Kommuni- 
kation verringern würden. 


Mit freundlichen Grüßen 


Dear Members ofthe European 
Parliament 


The undersigned organisations urge 
the European Parliament to ensure a 
high level of protection of privacy and 
confidentiality in the upcoming ePriva- 
cy Regulation and to address the weak- 
ness in the current Council position du- 
ring trilogue negotiations. 

Four years ago, the European Commis- 
sion proposed the ePrivacy Regulation 
to complete themodernisation ofthe EU 
data protection framework begun bythe 
GDPR. To address the concerns related 
to the use ofcookies and other tracking 
technologies, the European Parliament 
adopted several provisions that: 

« Protect Internet users from tracking 
and monitoring, whether by cookies 
or other technological means. The 
collection of data from, or storage of 
data on, auser’s device is allowed only 
with the consent of the user unless 
technically required for the service 
(Article 8); 

Prohibited tracking or cookie walls, 
which seek to coerce users into ‘con- 
senting’ to the processing or storage 
of additional data in exchange for ac- 
cess (Article 8) 

Lightened the burden of privacy con- 
trols on Internet users, by allowing 
them to automate consent choices 
and use legally binding signals sent by 
network-connected software or hard- 
ware to communicate them to websi- 
tes (Articles 9 and 10). Article 19 set 
out a process for the specification of 
such signals by the European Data 
Protection Board. 
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These protections were removed or 
weakened by the Council in its negoti- 
ation mandate. 

The Council’s Article 8(1) letters a, c 
and d create ambiguity about the data 
that are “technically necessary” for a 
service and open the door to the tra- 
cking of users. Furthermore, the prohi- 
bition against “tracking walls” has been 
moved to a Recital and qualified with 
unclear caveats. 

Council also deleted Articles 9 and 
10, backing away from technical solu- 
tions to the constant requests to agree 
to further data collection. As a con- 
sequence, users will have to face the 
continued nuisance of consent banners 
which try to manipulate them with ‘dark 
patterns”. These requests could instead 
be dealt with by legally binding signals 
configured by the user, but this soluti- 
on has now been abandoned to wishful 
thinking and relegated to a Recital. As 
regards privacy by design and default, 
most browsers have shifted to protec- 
ting their users, an evolution which the 
Regulation has nottaken account ofand 
should expand on. 

Since the Parliament agreed its positi- 
on in October 2017, public trust in data 
collection has been damaged by the 
Cambridge Analytica scandal. The ePri- 
vacy regulation must send a clear mes- 
sage thattthe future belongs to business 
models which unify fundamental rights 
and innovation, rather than those who 
operate apersonal data dragnet. 

The Council position, instead, legi- 
timises abuses and breaches of data 
protection law and fails to address the 
trust deficit. In 2016, a Eurobarometer 
survey found that “more than seven in 
ten Internet and online platform users 
agreetheyareconcerned aboutthe data 
collected about them on the Internet”. 
In 2020, studies have found that athird 
of consumers acted upon these con- 
cerns, and terminated their relationship 
with at least one business because of 
data privacy concerns. The same study 
found that another 87% of respondents 
was worried about their data not being 
protected by the tools they need to use 
for remote working because of the CO- 
VID-19 pandemic. 

We urge the European Parliament to 
reassert their position and ensure that 
the ePrivacy Regulation delivers on its 


objectives. Personal data in the field of 
electronic communications are extre- 
mely sensitive, as they reveal intimate 
aspects ofthe private life ofindividuals, 
particularly during the COVID-19 pan- 
demic when everyday activities and ex- 
changes are now largely happening on- 
line. Therefore, the protection afforded 
by the GDPR should be complemented 
by closing loopholes and grey areas that 
have been widelyabused bythetracking 
industry, as well as by providing additi- 
onal, stronger guarantees to personal 
data processing in that field. 

We callon the European Parliament to 
take full account of the opinions of the 
European Data Protection Board and the 
European Data Protection Supervisor, 
and to reject any proposal or compro- 
mise that would lower the level of pro- 
tection provided by the GDPR and the 
current ePrivacy Directive. 


Yours sincerely, 


Access Now, International e Amnesty 
International *e BEUC, The European 
Consumer Organisation * Bits of Free- 
dom, The Netherlands ® Centre for Peace 
Studies, Croatia ® Civil Liberties Union 
for Europe (Liberties), International ® 
Civil Rights Defenders, Sweden « Coali- 
tion for Civil Liberties and Rights, Italy 
° Communia, International * Deutsche 
Vereinigung für Datenschutz e.V. (DVD), 
Germany « Digitalcourage, Germany ® 
Electronic Frontier Foundation, Inter- 
national * Free Knowledge Advocacy 
Group EU, International « Homo Digita- 
lis, Greece «e Human Rights Monitoring 
Institute, Lithuania e Hungarian Civil 
Liberties Union, Hungary ® Institute 
of Information Cyprus, Cyprus ® IT- 
Pol Denmark, Denmark ® Liga lidskych 
präv | League of Human Rights, Czech 
Republic e Ligue des Droits Humains, 
Belgium ° Netzwerk Datenschutzex- 
pertise, Germany ® Open Rights Group, 
United Kingdom « Panoptykon Found- 
ation, Poland ° Platform Bescherming 
Burgerrechten, The Netherlands « Pri- 
vacy First, The Netherlands ° Privacy 
International, International e Ranking 
Digital Rights, USA « The Irish Council 
for Civil Liberties, Ireland ° The Privacy 
Collective, International « Xnet, Spain 
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Von den Jahren 2014 und 2015 sind noch 
alle Hefte in großer Anzahl verfügbar 
Bestellbar für 4 Euro pro Jahrgang oder 6 Euro für beide Jahrgänge * 


u 
een tenschutz 
eV richten 


1/2014 Konzern-Datenschutz 
2/2014 Das Internet der Dinge 
3/2014 Datenschutz im Reiseverkehr 
4/2014 Big Data 


2 
sen enschutz 
10 ichten 


1/2015 Mobilität, Telematik und Datenschutz 
2/2015 Datenerfassung und Flüchtlinge 
3/2015 Rote Linien zur EU-DSGVO 

4/2015 Sichere Häfen * Nur solange der Vorrat reicht 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 
Anti-Hass-Gesetz in Kraft 


Bundespräsident Frank-Walter Stein- 
meier hat die zurückgehaltenen Gesetze 
gegen Hass und Rechtsextremismus mit 
einer Regelung zur Bestandsdatenaus- 
kunft unterzeichnet und in Kraft ge- 
setzt. Bundesjustizministerin Christine 
Lambrecht äußerte sich erleichtert, 
dass die Normen, mit denen Hass und 
Hetze im Internet bekämpft werden 
sollen, nach Verzögerungen und Ausei- 
nandersetzungen in veränderter Form 
wirksam werden können. Die Initiative 
diene „dem Schutz aller Menschen, die 
im Netz bedroht und beleidigt werden“. 
Künftig könnten Polizei und Justiz sehr 
viel entschiedener gegen menschenver- 
achtende Hetze vorgehen: „Wir erhöhen 
die Abschreckung und den Ermittlungs- 
druck deutlich.” 

Das Gesetzespaket besteht aus dem 
„Gesetz zur Bekämpfung des Rechtsex- 
tremismus und der Hasskriminalität”, 
das am 03.04.2021 in weiten Teilen in 
Krafttrat, sowie dem ab dem 02.04.2021 
geltenden „Gesetz zur Anpassung der 
Regelungen über die Bestandsdaten- 
auskunft an die Vorgaben aus der Ent- 
scheidung des Bundesverfassungsge- 
richts vom 27. Mai 2020”. 

Bundespräsident Frank-Walter Stein- 
meier hatte sich nach der Ansage der 
Karlsruher Richter zunächst Anfang 
Oktober geweigert, das vom Bundes- 
tag bereits im Juni 2020 beschlossene 
Anti-Hass Gesetz zu unterzeichnen. Es 
enthält weitgehende Vorschriften zur 
Herausgabe von Bestandsdaten inklu- 
sive Passwörtern. Der Bundestag ver- 
abschiedete daraufhin Ende Januar die 
Reform der Bestandsdatenauskunft, um 
damit auch das Gesetz gegen Hass und 
Hetze zu „reparieren“ (DANA 1/2021, 
36 f.). Der Bundesrat stimmte dem Ent- 
wurf Mitte Februar aufgrund zahlreicher 
rechtlicher Einwände aber nicht zu, so- 
dass die Bundesregierung den Vermitt- 
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lungsausschuss zwischen beiden Gremi- 
en anrief. 

Dieser verständigte sich auf einen 
Kompromiss. Eine Passwortherausgabe 
kommt demnach nur noch bei bestimm- 
ten, besonders schweren Straftaten in 
Betracht. Die Vertreter von Bund und 
Ländern schränkten zudem die Abruf- 
möglichkeit für Nutzungsdaten wie 
URLs, Kommunikation auf sozialen 
Netzwerken und Pseudonymen ein. 

Steinmeier unterzeichnete beide Ge- 
setze daraufhin am 30.03.2021, am 
01.04.2021 wurden sie im Bundesgesetz- 
blatt verkündet. Mit dem Anti-Hass-Ge- 
setz wird das Strafgesetzbuch erweitert 
und verschärft. Schon das „Billigen” oder 
Androhen von Straftaten etwa in sozialen 
Netzwerken gilt als Verbrechen, wenn 
entsprechende Äußerungen geeignet 
sind, den öffentlichen Frieden zu stören. 
Drohungen mit Taten gegen die sexuelle 
Selbstbestimmung, die körperliche Un- 
versehrtheit, die persönliche Freiheit 
oder gegen Sachen von bedeutendem 
Wert, diesich gegen die Betroffenen oder 
ihnen nahestehende Personen richten, 
werden ebenfalls strafbar. 

Wer öffentlich im Netz andere belei- 
digt, dem drohen bis zu zwei Jahre Haft. 
Den Katalog der rechtswidrigen Inhalte 
im Netzwerkdurchsetzungsgesetz hat 
der Gesetzgeber um das Delikt der „Ver- 
unglimpfung des Andenkens Verstorbe- 
ner” ergänzt. 

Anbieter von Telemediendiensten wie 
WhatsApp, Google, Facebook, Tinder 
& Co. müssen sensible Daten von Ver- 
dächtigen wie IP-Adressen und Pass- 
wörter künftig an Sicherheitsbehörden 
herausgeben. Dazu kommt eine Pflicht 
für Betreiber großer sozialer Netzwerke 
wie Facebook, TikTok und Twitter straf- 
rechtlich relevante Inhalte wie Hassbei- 
träge, Terrorismuspropaganda oder Be- 
drohungen und Darstellungen sexuellen 
Kindesmissbrauchs nicht mehr nur zu 
löschen, sondern parallel unaufgefor- 
dert - zusammen mit aussagekräftigen 
Internetkennungen inklusive Portnum- 


mern - ans Bundeskriminalamt (BKA) 
zu melden. 

Für diese lange besonders umstrittene 
Bestimmung gilt eine Übergangsklausel 
bis zum 01.02.2022, damit die Provider 
und das BKA ihre Prozesse umstellen 
können. Netzpolitisch aktive Vereine 
hatten gewarnt, dass dort eine umfas- 
sende „Verdachtsdatenbank” in Form 
eines polizeilichen Zentralregisters 
entstehe. Die Grünen forderten daher 
ein entschärftes zweistufiges Verfah- 
ren, fanden dafür aber auch im Vermitt- 
lungsausschuss keine Mehrheit. 

Wegen der Bestandsdatenauskunft 
hing auch das neue Zollfahndungs- 
dienstgesetz bei Steinmeier fest. Dieses 
trägt mit den Korrekturen von Bund und 
Ländern nun ebenfalls die Unterschrift 
des Bundespräsidenten und trat auch 
am 02.04.2021 in Kraft. Die Kompeten- 
zen des Zollkriminalamts und der Zoll- 
fahndungsämter etwa bei der - auch 
präventiven - Überwachung der Tele- 
kommunikation sowie des Brief- und 
Postverkehrs hat der Gesetzgeber hier 
deutlich ausgeweitet. Verbunden ist da- 
mit erstmals auch die Befugnis, Staats- 
trojaner für die Quellen-TKÜ nutzen zu 
dürfen (Krempl, Gesetze gegen Hass 
und zur Passwortherausgabe treten in 
Kraft, www.heise.de 01.04.2021, Kurz- 
link: https://heise.de/-6004554). 


Bund 


Stasi-Unterlagen-Behörde 
geht ins Bundesarchiv über 


Der Bundesbeauftragte für die Stasi- 
Unterlagen (BStU) Roland Jahn hat am 
19.03.2021 seinen 15. und letzten Tä- 
tigkeitsbericht vorgestellt, den letzten 
der Behörde überhaupt, bevor sie am 
17.06.2021 offiziell mit dem Bundes- 
archiv verschmolzen wird. Dabei gehen 
nach 30 Jahren DDR-Aufarbeitung 111 
Regalkilometer Stasi-Akten an zunächst 
13 und mittelfristig nur noch sechs 
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Standorten ans Bundesarchiv über. 
Mehr als drei Milliarden Euro wurden 
ausgegeben, zu rund vier Fünfteln für 
Personal. Es wechseln auch rund 1.300 
BStU-Mitarbeiterinnen und Mitarbei- 
ter. Das Stasi-Unterlagen-Gesetz gilt 
weiter, sodass sich am Zugang zu den 
Akten nichts ändern wird - weder zum 
Schlechteren noch zum Besseren. Ins- 
gesamt 2,17 Mio. Menschen haben seit 
1991 rund 3,35 Mio. Anträge gestellt, 
um zu erfahren, was die DDR-Staatssi- 
cherheit einst über sie festhielt. Auch 
noch Anfang 2021 kommen zwischen 
3.000 und 4.500 neue Auskunftsbegeh- 
ren im Monat. Die Anfragen sind aber 
rückläufig: Nach ca. 56.000 Anträgen im 
Jahr 2019 waren es 2020 rund 37.400. 
Bei rund 20% der Anträge geht es mitt- 
lerweile nicht mehr um das persönliche 
Schicksal, sondern um die Geschichte 
von Eltern und Großeltern. Vier Milli- 
onen weitere Anträge stellten in den 
vergangenen 30 Jahren Behörden und - 
viel seltener - private Firmen, die Mitar- 
beiter auf mögliche Stasi-Verstrickun- 
gen überprüfen wollten, Journalisten 
und Wissenschaftler. 

Jahn meinte bei der Vorstellung sei- 
nes Berichts, die Akten blieben wei- 
terhin sehr wichtig für die Demokratie: 
„Die Stasi-Unterlagen können unserer 
heutigen Gesellschaft einen großen 
Dienst erweisen.” Es gehe nicht nur um 
Vergangenheit. Im Stasi-Unterlagen- 
Archiv stecke „enorm viel Stoff für die 
Gestaltung von Demokratie” und für die 
Sensibilisierung für Werte wie Freiheit 
und Menschenrechte. Der Vorsitzende 
der Union der Opferverbände Kommu- 
nistischer Gewaltherrschaft (UOKG), 
Dieter Dombrowskis, erklärte: „Die Ar- 
beit der Stasi-Unterlagen-Behörde ist 
eine Erfolgsgeschichte, die trotz an- 
fänglicher Skepsis am Ende zu Klarheit 
und Aufklärung geführt hat.“ Niemals 
zuvor in der Weltgeschichte hat sich 
eine Gesellschaft mit so großem Auf- 
wand an Personal und Geld der Aufgabe 
gestellt, eine vorangegangene Diktatur 
und ihre Untaten aufzuklären. Mit „Auf- 
arbeitung” wurde ein vorher ganz anders 
gemeintes Wort dafür umgewidmet. Der 
in Bezug auf die Nazi-Zeit gängige Be- 
griff „Vergangenheitsbewältigung” war 
ja nicht besonders glücklich. 

Der 68-jährige Historiker, Journa- 
list und langjährige BStU-Mitarbeiter 
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Christian Booß zieht eine eher kritische 
Bilanz: „Roland Jahn hat über den Be- 
strebungen, seine Behörde und seine 
Funktion abzuwickeln, wichtige inter- 
ne Reformaufgaben vernachlässigt.” 
Booß setzt sich mit dem Bürgerkomitee 
15. Januar e.V. für eine Fortsetzung der 
Aufarbeitung ein und meint: „Im Vor- 
griff auf die Übergabe der Behörde an 
das Bundesarchiv wurde die Geheim- 
dienstforschung faktisch abgewickelt.” 


° Geschichte des BStU 


Die BStU geht zurück auf Debatten im 
Einheitsjahr 1990 und auf die zeitwei- 
lige Besetzung früherer Stasi-Gebäude 
durch DDR-Dissidenten unter der Paro- 
le: „Meine Akte gehört mir!” Die zumeist 
auf menschenrechtswidrige Weise ent- 
standenen Akten konnten aber nicht an 
die Betroffenen „ausgegeben“ werden, 
weil in fast allen Unterlagen mehrere, 
manchmal viele Personen genannt sind. 
Außerdem sollte auch die deutsche Ge- 
sellschaft insgesamt erfahren, wie der 
Geheimdienst die SED-Herrschaft „ab- 
gesichert” hatte. 

Trotz des fast immer gewaltfreien 
Sturmes auf Dienststellen der Stasi im 
Dezember 1989 wurden noch im Früh- 
jahr 1990 in großem Umfang Akten und 
elektronische Datenträger der Stasi ver- 
nichtet - oft im Einverständnis mit Kon- 
trolleinrichtungen wie dem zentralen 
Runden Tisch oder den Bürgerkomitees. 
Mit fadenscheinigen Begründungen 
waren die unerfahrenen Bürgerrechtler 
dazu überredet worden, etwa mit der 
Behauptung, Auslandsspionage betrei- 
be jeder Staat, und jeder Staat müsse 
die eigenen Spione schützen dürfen. 

Nachdem diese Vernichtungen ge- 
stoppt waren, blieb Unbehagen über 
die ungeheuren Materialberge zurück. 
Sie waren ein wissenschaftlich wertvol- 
les, zugleich aber politisch schwieriges 
Erbe. Bald kursierte die Befürchtung, 
eine Offenlegung der Akten könnte zu 
Selbstjustiz führen, wenn ausgespitzel- 
te Menschen ihre Verräter zur Rede stel- 
len wollten. In Wirklichkeit wurde kein 
einziger derartiger Übergriff registriert. 

Die einzige frei gewählte DDR-Volks- 
kammer legte noch die Grundlage 
für eine Behörde, die dann nach dem 
03.10.1990 vom Bundestag im Stasi- 
Unterlagen-Gesetz (StUG) legitimiert 


wurde. Das Gesetz regelt sowohl den 
Datenschutz wie auch den Aktenzu- 
gang. Die in den Beständen der BStU 
recherchierten Akten wurden und wer- 
den auch künftig zu einem angefragten 
Thema (meist zu einer Person) erst von 
Mitarbeitern durchgesehen, bevor sie 
- fast immer fragmentarisch und selbst 
auf den freigegebenen Seiten noch oft 
mit geschwärzten Namen und ähnlichen 
personenbezogenen Informationen - 
dem Antragsteller vorgelegt werden. Für 
Kopien aus dem Material gelten mitun- 
ter noch schärfere Regeln. 

In den 1990er-Jahren, der Amtszeit 
des ersten Bundesbeauftragten für die 
Stasi-Unterlagen (und späteren Bun- 
despräsidenten) Joachim Gauck, waren 
die Vorschriften noch etwas lockerer 
gehandhabt worden. Als im Jahr 2000 
Medien im Zusammenhang mit der in 
der damaligen CDU-Spendenaffäre Zu- 
gang zu Stasi-Unterlagen über Helmut 
Kohl einforderten, klagte der ehemali- 
ge Bundeskanzler dagegen. Nach meh- 
reren Instanzen führte diese Klage zu 
einer von Gerichten erzwungenen res- 
triktiveren Auslegung des Datenschut- 
zes. Das „Angstschwärzen” wurde in der 
BStU zum Normalfall, sogar bei Akten 
aus den 1950er- und 1960er-Jahren, 
die nach normalem Archivrecht längst 
ungeschwärzt zugänglich gewesen 
wären. Einmal machte ein Mitarbeiter 
allen Ernstes das Wort „Gott“ unkennt- 
lich - weil dessen Persönlichkeitsrechte 
durch das Auftauchen in einem Spit- 
zelbericht der Stasi von 1981 verletzt 
werden könnten. Die gesamte Amtszeit 
der zweiten Bundesbeauftragten Mari- 
anne Birthler war von diesem deutlich 
erschwerten Zugang zu den Akten ge- 
kennzeichnet. Auch in der Amtszeit des 
dritten und letzten Bundesbeauftragten 
Roland Jahn seit 2011 konnte die BStU 
die bürokratischen Hemmnisse nicht 
wirklich überwinden, auch wenn vieles 
besser wurde. 

Offen ist nach wie vor der Umgang mit 
deninrund 16.000 Säcken enthaltenen 
„vorvernichteten” Stasi-Akten. Für ihre 
virtuelle Rekonstruktion mittels Scan- 
nern standen Millionen bereit, doch das 
Projekt versandete in Bürokratie und 
überhöhten Erwartungen. Christian 
Booß kritisiert: „Die computergestütz- 
te Zusammensetzung der zerrissenen 
Akten, immerhin ein Auftrag des Bun- 
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destags, ist faktisch tot. Seit fünf Jah- 
ren wird gar nichts mehr elektronisch 
gepuzzelt.” Die Schnipsel manuell zu- 
sammenzusetzen wäre beim bisherigen 
Tempo wohl eine Aufgabe für mehrere 
Jahrhunderte (Kellerhof, Selbst der 
Name „Gott“ wurde geschwärzt - wegen 
Persönlichkeitsrechten, www.welt.de 
19.03.2021; Akten bleiben offen, Kie- 
ler Nachrichten 20.03.2021, 3; Weniger 
Akteneinsicht, SZ 20./21.03.2021, 6). 


Bund 


Staatliche Mobilfunküber- 
wachung auf hohem Niveau 


Gemäß einer Antwort der Bundesre- 
gierung auf eine Anfrage der Linksfrak- 
tion im Bundestag nimmt die verdeckte 
Überwachung durch deutsche Strafver- 
folgungsbehörden gegenüber Mobiltele- 
fon-Nutzern wieder zu. Allein die Bun- 
despolizei hat im Jahr 2020 in 50 Ermitt- 
lungsverfahren 101.117 „stille SMS“ ver- 
schickt, um Personen zu orten. Das sind 
mehr als doppelt so viele „Stealth Pings” 
als 2019, als der einstige Bundesgrenz- 
schutz 48.000 entsprechende geheime 
Kurznachrichten aussandte. Die Bundes- 
polizei setzt das umstrittene Instrument 
damit in etwa wieder so oft ein wie 2018. 
Die zwischenzeitliche Abnahme der Zahl 
erklärt sich durch ein Urteil des Bundes- 
gerichtshofs (BGH), der im Februar 2018 
für eine Strafverfolgung mit stiller SMS 
einen richterlichen Beschluss fordert. 
Dazu der linke Bundestagsabgeordnete 
Andrej Hunko: „Die BGH-Entscheidung 
konnte die ausufernde Überwachung 
bei der Bundespolizei offenbar nur kurze 
Zeit eindämmen.” 

Das Bundeskriminalamt (BKA) hat im 
Jahr 2020 in 82 Verfahren 44.444 ent- 
sprechende heimliche Kurzmitteilun- 
gen verschickt, 2019 waren es 41.300. 
Wie viele Betroffene der Maßnahmen 
der Polizeibehörden des Bundes nach- 
träglich darüber informiert wurden, ist 
der Regierung nicht bekannt: Dieser 
Schritt obliege den jeweils zuständigen 
Staatsanwaltschaften. Beim Zoll behan- 
delt das federführende Bundesinnen- 
ministerium (BMI) die Zahlen zur stil- 
len SMS seit 2012 als Verschlusssache. 
Beim Bundesamt für Verfassungsschutz 
(BfV) verfährt das Ressort seit Anfang 
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2019 genauso. Zuvor hatte der Inlands- 
geheimdienst Werte von bis zu 180.000 
entsprechenden Abfragen pro Jahr er- 
reicht. Das BMI weigert sich nun auch, 
Informationen über entsprechende 
BfV-Aktivitäten in „abstrahierter Form“ 
zu veröffentlichen. Zu späteren Benach- 
richtigungen erfolge hier zudem „keine 
maßnahmenbezogene Erhebung”. An- 
gaben zum Bundesnachrichtendienst 
gelten ebenfalls als geheim. 

Stille SMS adressieren einzelne Mobil- 
telefone, ohne dem Nutzer angezeigt zu 
werden. Ihr Gerät meldet sich aber bei 
der eingebuchten Funkzelle zurück, er- 
zeugt so auswertbare Verbindungsdaten 
und verrät Ermittlern den ungefähren 
Standort des Geräts und damit auch des 
Betroffenen. 

Nicht mehr öffentlich verraten will 
die Regierung erstmals auch, wie vie- 
le Funkzellenabfragen die Zollfahnder 
durchführten. 2019 nutzten diese das 
Verfahren, bei dem Verbindungsdaten 
aller in eine bestimmte Funkzelle zu ei- 
nem bestimmten Zeitpunkt eingeloggter 
Handy-Nutzer gespeichert und gerastert 
werden, in 44 Fällen. Hunko kritisierte 
diese erweiterte Heimlichtuerei „aufs 
Schärfste”. Weil damit das parlamentari- 
sche Fragerecht ausgehöhlt werde, habe 
er beim BMI Beschwerde eingereicht. 
Handys seien generell zum Telefonieren 
da, „nicht um sie zunehmend als Or- 
tungswanzen zu missbrauchen“. 

Die Bundespolizei fragte 2020 in 77 
Fällen Providerdaten mithilfe von Funk- 
zellenauswertungen ab. Im Vorjahr hat- 
te sie davon 96-mal Gebrauch gemacht, 
um nachträglich alle Mobiltelefone in 
der Umgebung von Tatorten festzustel- 
len. Das BKA gebrauchte das Instrument 
im vorigen Jahr in einem Fall, 2019 
waren es drei Fälle gewesen. Der Gene- 
ralbundesanwalt führte in vier Fällen 
insgesamt fünf Funkzellenauswertun- 
gen durch, wobei er sich der Amtshilfe 
von Landeskriminalämtern in Bayern, 
Baden-Württemberg und Nordrhein- 
Westfalen bediente. Das BMI wollte oder 
konnte nicht die Zahl der Maßnahmen 
benennen, „die wesentlich zur Aufklä- 
rung der jeweiligen Straftat beigetragen 
haben”. 

IMSI-Catcher brachte die Bundes- 
polizei in 28, das BKA in vier Fällen in 
Stellung, um den Standort eines aktiv 
geschalteten Mobiltelefons und die Ge- 


räte- oder Kartennummer zu ermitteln. 
In Verfahren des Generalbundesanwalts 
wurden im ersten Halbjahr 2020 in 14 
sowie im zweiten in 13 Fällen derlei An- 
lagen eingesetzt. IMSI-Catcher senden 
mit einem stärkeren Signal als Basissta- 
tionen der offiziellen Netzbetreiber, so- 
dass sich Handys dort einwählen und so 
überwacht werden können. 

Das Werkzeug liefert dem BMI zufolge 
wesentliche Ausgangspunkte für weite- 
re Ermittlungsmaßnahmen, durch die 
Sachverhalte inhaltlich aufgeklärt wer- 
den können. Die Bundesregierung habe 
2020 auch eine Ausfuhrgenehmigung 
für einen IMSI-Catcher erteilt und zwar 
nach Ungarn. Über das belieferte Un- 
ternehmen könne man keine Angaben 
machen, um Betriebs- und Geschäftsge- 
heimnisse zu wahren. Keine öffentliche 
Auskunft gibt die Exekutive darüber, 
wie viele solche Abhöranlagen Bundes- 
behörden im Regierungsviertel aufge- 
spürt haben. 

Jenseits der Handy-Überwachung 
befassen sich mit der „Internetaufklä- 
rung” beim BfV „alle Fachabteilungen”. 
Nähere Auskünfte zur Aufgabenvertei- 
lung und zu Personalstärken könnten 
zum Schutz der Arbeitsweise des Ge- 
heimdienstes nicht gegeben werden. 
Innerhalb des BKAs seien die Abtei- 
lungen Polizeilicher Staatsschutz und 
Islamistisch motivierter Terrorismus/ 
Extremismus damit beschäftigt, Online- 
Inhalte koordiniert auszuwerten. Das 
Bundesverteidigungsministerium un- 
ternehme in den Abteilungen Strategie 
und Einsatz offene Recherchen (Open 
Source Intelligence) zu „Nachrichten, 
gemeldeten Vorgängen und Ereignis- 
sen“ (Krempl, Überwachung: Bundes- 
polizei verschickte 2020 über 100.000 
stille SMS, www.heise.de 06.02.2021, 
Kurzlink: https://heise.de/-5047855). 


Bund 


Bär-Büroleiterin Reuss 
wechselt zu Facebook 


Die Büroleiterin von Digitalministerin 
Dorothee Bär (CSU) Julia Reuss wech- 
selte Ende Februar 2021 vom Kanzler- 
amt zum US-Konzern Facebook. Dort 
ist sie für den Bereich Zentraleuropa 
zuständig. Die promovierte Politikwis- 
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senschaftlerin ist seit zwei Jahren die 
Freundin von Verkehrsminister Andreas 
Scheuer (CSU). Reuss soll die Zusam- 
menarbeit zwischen dem US-Konzern 
und politischen Entscheidungsträgern 
sowie zivilgesellschaftlichen Akteuren 
vorantreiben. Ihr offizieller Titel: Public 
Policy Director, Central Europe. 

Nur knapp zwei Jahre war Reuss für 
Bär tätig. Zuvor leitete sie im Bundes- 
verkehrsministerium die Stabsstelle Ur- 
bane Mobilität und wurde dort nach nur 
drei Monaten im Dienst verbeamtet (No- 
vember 2018). Diesen Status verliert die 
37-Jährige nun durch den Wechsel in 
die Wirtschaft. Zuvor hatte Julia Reuss 
schon einmal einen Berufswechsel voll- 
zogen, dem ein gewisses Geschmäck- 
le nachgeht: 2012 war sie persönliche 
Referentin des damaligen Bundesver- 
kehrsministers Peter Ramsauer (CSU). 
Zum Jahreswechsel übernahm sie dann 
einen deutlich höher dotierten Posten 
bei der Deutschen Bahn AG, deren Ei- 
gentümer der Bund ist. Das Verkehrsun- 
ternehmen hat zahlreiche Berührungs- 
punkte mit der Arbeit einer Referentin 
im entsprechenden Ministerium. 

Die Opposition reagierte pikiert auf 
die Personalie Reuss, so. z.B. Jan Kor- 
te, Parlamentarischer Geschäftsführer 
der Linken im Bundestag: „Es gibt aus 
gutem Grund Anzeige- und Genehmi- 
gungspflichten auch für Beamte in der 
Bundesregierung. Natürlich ist es pro- 
blematisch, wenn die Büroleitung der 
Beauftragten der Bundesregierung für 
Digitalisierung im Kanzleramt direkt 
in die Lobby-Abteilung von Facebook 
wechselt.” Dabei geht es dem Politiker, 
der sich jahrelang für ein Lobbyregister 
im Bundestag eingesetzt hatte (s.u.), 
vor allem um die Haltung der Bundes- 
regierung zu Transparenz. Wenn die 
Digital-Staatsministerin zulasse, dass 
„besonderes Wissen aus der Arbeit der 
Bundesregierung in der Wirtschaft ver- 
silbert wird, schadet sie dem Vertrauen 
in demokratische Institutionen“. 

Von solchen Klüngel-Vorwürfen woll- 
te man bei Staatsministerin Dorothee 
Bär nichts wissen. Reuss habe sich ei- 
genverantwortlich für einen Wechsel 
in die Privatwirtschaft entschieden, 
so ihr Büro: „Mit Kenntnis über den 
neuen Arbeitgeber hat Staatsminis- 
terin Bär unverzüglich die Übergabe 
der operativen Tätigkeiten von Frau 
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Dr. Reuss veranlasst.” Dort versicherte 
man außerdem, dass zu den Aufgaben 
der ehemaligen Büroleiterin „nicht die 
inhaltliche Betreuung von Themen, die 
ihren neuen Arbeitgeber betreffen” ge- 
hörte (Rebhan, Aus dem Digitalminis- 
terium zu Facebook: Scheuers Freundin 
macht Karriere, www.businessinsider. 
de 10.02.2021). 


Bund 


Gesetz zu Lobbyregister 
verspricht mehr Trans- 
parenz 


Union und SPD haben sich nach lan- 
gem Streit auf Regeln für Lobbyisten 
verständigt, die bei der Bundesregie- 
rung und im Parlament ihre Interessen 
vertreten. Künftig sollen diese ver- 
pflichtet werden, sich in ein Lobbyre- 
gister einzutragen und ihre Auftragge- 
ber sowie finanziellen Aufwendungen 
offenzulegen. Die Einigung erfolgte 
kurz nach dem Bekanntwerden einer 
Lobby-Affäre um den stellvertretenden 
Unionsfraktionsvorsitzenden Georg 
Nüßlein. Gegen den CSU-Politiker lau- 
fen Ermittlungen wegen des Anfangs- 
verdachts der Bestechlichkeit, er soll 
sich bei der Bundesregierung für den 
Kauf von Schutzmasken eingesetzt und 
dafür Geld bekommen haben. 

Im Sommer 2020 hatte die Lobby-Af- 
färe um den CDU-Abgeordneten Philipp 
Amthor Bewegung in die seit Jahren 
stockenden Bemühungen um verbind- 
liche Regeln für Interessenvertreter 
gebracht. Im August legten Union und 
SPD einen Gesetzentwurf für ein Lob- 
byregister vor (DANA 3/2020, 185). Die 
neuen Regeln sollten aber nur für Lob- 
byisten gelten, die bei Abgeordneten 
vorstellig werden, aber nicht für dieje- 
nigen, die sich direkt an die Bundesre- 
gierung wenden. In ihrer traditionellen 
Sommerpressekonferenz hatte Bundes- 
kanzlerin Angela Merkel erklärt, damit 
lege die Regierung schon „eine sehr 
hohe Transparenz an den Tag“. Da aber 
die meisten Gesetze in den Ministerien 
und nicht im Parlament entworfen wer- 
den, wäre damit ein zentraler Bereich 
des Lobbyismus im Schatten geblieben. 
Nach massiver öffentlicher Kritik lenkte 
die Koalition ein und sagte zu, das Lob- 


byregister werde für Parlament und Re- 
gierung gelten. 

Innerhalb der Bundesregierung gab es 
Einwände: Das Innenministerium unter 
Führung von Horst Seehofer (CSU) woll- 
te nur Kontakte mit der Führungsebene 
der Ministerien registrierungspflichtig 
machen, nicht aber mit den Fachab- 
teilungen. Der Bundesjustizministerin 
Christine Lambrecht (SPD) gingen die 
Pläne dagegen nicht weit genug. Sie 
wollte in dem Entwurf noch den „exe- 
kutiven Fußabdruck” unterbringen, der 
für jedes neue Gesetz dokumentiert, 
welche Lobbyisten bei der Regierung 
Einfluss genommen haben. Dieser Streit 
konnte über Monate nicht ausgeräumt 
werden. 

Am 02.03.2021 morgens verständig- 
ten sich die Fraktionschefs Ralph Brink- 
haus (CDU) und Rolf Mützenich (SPD) 
darauf, dass es eine Einigung beim 
Lobbyregister geben müsse; abends 
stand der Kompromiss. Die Registrie- 
rungspflicht soll künftig nicht nur für 
Lobbyisten-Kontakte mit Ministern und 
Staatssekretären, sondern auch mit Ab- 
teilungs- und Unterabteilungsleitern 
gelten. An dieser Stelle gab die Union 
nach. Dafür verzichtete die SPD am Ende 
darauf, den exekutiven Fußabdruck 
durchzusetzen. Den Interessenvertre- 
tern wird ein Verhaltenskodex aufer- 
legt. Wer sich nicht registriert oder wer 
falsche Angaben macht, begeht künftig 
eine Ordnungswidrigkeit, die mit einem 
Bußgeld bis zu 50.000 € geahndet wer- 
den kann. Im Bundestag saßen Anfang 
2021 709 Abgeordnete. Es gab fast 800 
Lobbyisten, die über einen Hausausweis 
für das Parlamentsgebäude verfügten. 
Insgesamt gibt es mehrere Tausend Lob- 
byisten in Berlin. 

Nach dem Kompromiss erhoben bei- 
de Seiten Vorwürfe gegen die jeweils 
andere, so Mützenich: „Endlich hat die 
Union eingelenkt, nachdem die jah- 
relange Blockade auch vor der Öffent- 
lichkeit nicht mehr vertretbar war.” Der 
parlamentarische Geschäftsführer der 
Unionsfraktion, Patrick Schnieder, warf 
dagegen der SPD vor, eine Einigung blo- 
ckiert zu haben: „Die Justizministerin 
erhob plötzlich Forderungen, die bereits 
vom Tisch waren.” Er betonte, die Eini- 
gung stehe nicht in Zusammenhang mit 
den Vorwürfen gegen Nüßlein. Die Uni- 
on warte das Ergebnis der Ermittlungen 
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ab und werde sich dann damit auseinan- 
dersetzen, ob es Regelungslücken gebe. 
„Weder der Fall Nüßlein noch der Fall 
Amthor haben inhaltlich etwas mit dem 
Lobbyregister zu tun.” Hier gehe es viel- 
mehr um das Abgeordnetengesetz und 
die Verhaltensregeln für Abgeordnete. 
FDP, Grüne und Linke bemängel- 
ten das Fehlen des exekutiven Fuß- 
abdrucks. Der parlamentarische Ge- 
schäftsführer der Linken, Jan Korte, 
kritisierte: „Worauf die Koalition sich 
nun geeinigt hat, ist ein Lobbyregister 
light.” Er bedauerte, dass sich die SPD 
gegenüber der Union nicht durchge- 
setzt habe, obwohl bei der Union wegen 
der Lobby-Affären „die Hütte brennt“. 
Die parlamentarische Geschäftsführerin 
der Grünen, Britta Haßelmann, meinte, 
was CDU/CSU und SPD vorschlagen, sei 
„unzureichend“. Der Vorsitzende der Or- 
ganisation Transparency Deutschland, 
Hartmut Bäumer, nannte das Lobbyre- 
gister der großen Koalition „ein Placebo 
zur Beruhigung der weniger informier- 
ten Öffentlichkeit“. Wirkliche Transpa- 
renz der Lobbyarbeit werde dieses Ge- 
setz nicht bewirken (von Salzen, Warum 
sich Union und SPD nach langem Streit 
auf ein Lobbyregister einigen, www. 
tagesspiegel.de 03.03.2021; Rossmann, 
Transparenz per Gesetz SZ 25.03.2021). 


Bund 


Parlamentarische Offen- 
legungsregeln werden 
verschärft 


Mitte April 2021, ca. drei Wochen nach 
der Einigung der großen Koalition auf 
schärfere Transparenzregeln für Parla- 
mentarier, haben CDU, CSU und SPD ih- 
ren Gesetzentwurf für eine Änderung des 
Abgeordnetengesetzes fertiggestellt, wo 
es in den Vorbemerkungen heißt: „Das 
Vertrauen der Bürgerinnen und Bürger 
ist das Fundament des deutschen Parla- 
mentarismus. Bereits der Verdacht, dass 
Mitglieder des Deutschen Bundestages 
ihr Mandat missbrauchen, um eigene 
monetäre Interessen zu verfolgen, kann 
das Vertrauen in die Unabhängigkeit 
der Abgeordneten und die Integrität des 
Deutschen Bundestages unterlaufen.” 

Mit der Änderung des Abgeordneten- 
gesetzes werden die bisherigen Trans- 
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parenzregeln deutlich verschärft. Die 
bislang in der Geschäftsordnung des 
Deutschen Bundestages sowie in deren 
Ausführungsbestimmungen festgeleg- 
ten Verhaltensregeln für Abgeordnete 
werden in einen neuen elften Abschnitt 
des Gesetzes überführt. So erhalten die 
Transparenzvorschriften Gesetzesrang 
und werden übersichtlicher. 

Neu ist, dass die Nebeneinkünfte auf 
Euro und Cent offengelegt werden müs- 
sen, sofern sie eine Bagatellgrenze von 
1.000 € im Monat oder maximal 3.000 € 
im Jahr überschreiten. Bislang waren 
nur Honorare oberhalb von 10.000 € 
im Jahr veröffentlichungspflichtig. Au- 
ßerdem mussten Abgeordnete lediglich 
Stufenwerte für ihre Einkünfte angeben, 
nicht aber die genauen Beträge. Neu ist 
auch die Pflicht mittelbare und unmit- 
telbare Beteiligungen an Unternehmen 
anzugeben, wenn sie einen Anteil von 
5% übersteigen. Bislang lag der Schwel- 
lenwert bei 25%. Die Interessenvertre- 
tung gegenüber anderen Abgeordneten 
oder der Bundesregierung wird Mitglie- 
dern des Bundestages verboten. Das gilt 
auch für Beratertätigkeiten, die im Zu- 
sammenhang mit dem Mandat stehen. 

Abgeordnete sollen keine Spenden 
mehr annehmen dürfen. Auch Honorare 
für Vorträge, die im Zusammenhang mit 
der Abgeordnetentätigkeit stehen, dür- 
fen sie nicht mehr kassieren. Gastge- 
schenke, die sie im Rahmen ihrer Man- 
datsausübung bekommen, dürfen Ab- 
geordnete bis zu einem Wert von 200 € 
behalten. Teurere Geschenke müssen 
sie dem Präsidenten des Bundestages 
aushändigen oder können sie gegen 
Zahlung des Gegenwertes an die Bun- 
deskasse behalten. 

Der Gesetzentwurf räumt zudem mit 
einer von vielen selbstständigen Abge- 
ordneten als ungerecht empfundenen 
Veröffentlichungspraxis auf: Wer ein 
Unternehmen betreibt, muss künftig 
nicht mehr seine Bruttoumsätze ver- 
öffentlichen, sondern den Gewinn vor 
Steuern. Die Zeiten, in denen Landwirte 
fälschlicherweise als Spitzenverdiener 
des Parlaments ausgewiesen wurden, 
dürften damit vorbei sein. 

Mit dem Gesetz reagiert die Koalition 
auf die Lobby- und Maskenaffäre in der 
Bundestagsfraktion von CDU und CSU, 
in deren Folge mehrere Parlamentarier 
ihr Mandat niedergelegt haben. Der SPD- 


Sprecherim Ausschuss für Wahlprüfung, 
Immunität und Geschäftsordnung Mat- 
thias Bartke erläuterte: „Die Skandale 
der Vergangenheit haben gezeigt, dass 
neue Verhaltensregeln für Abgeordnete 
dringend notwendig sind. Bezogen auf 
wirtschaftliche Aktivitäten schaffen 
wir mit dem Gesetz einen weitgehend 
gläsernen Abgeordneten. Dies gilt ins- 
besondere für die Veröffentlichungs- 
pflicht von Nebeneinkommen nach Euro 
und Cent und die Offenlegungspflicht 
von Unternehmensbeteiligungen ab 
5 Prozent. Parlamentarische Vorgän- 
ge werden für Außenstehende künftig 
deutlich transparenter” (Niesmann, Das 
Transparenzgesetz, Kieler Nachrichten 
17.04.2021, 5). 


Bundesweit 


DSGVO-Bußgelder blieben 
2020 weitgehend beschei- 
den 


Bei einer Umfrage des Handelsblatts 
nach Verstößen gegen die Datenschutz- 
Grundverordnung (DSGVO) bei den 
Aufsichtsbehörden kam heraus, dass 
im Jahr 2020 knapp 60% mehr Bußgel- 
der verhängt wurden als im Jahr zuvor. 
Keine Angaben macht die Aufsicht von 
Mecklenburg-Vorpommern. Betroffen 
von Strafen und geringeren Bußgeldern 
sind vor allem viele kleine und mittlere 
Unternehmen sowie Soloselbstständi- 
ge. Die Strafzahlungen beliefen sich 
bundesweit insgesamt auf 48 Millionen 
Euro. Den mit Abstand größten Batzen 
macht das Bußgeld gegen den Mode- 
händler H&M aus, der alleine 35 Mio. € 
zahlen musste (DANA 4/2020, 253 £.). 
Die Rekordbuße verhängte der Hambur- 
gische Datenschutzbeauftragte. H&M 
hatte Mitarbeiter in einem Servicecen- 
ter in Nürnberg ausgespäht und private 
Daten gesammelt - von Urlaubserlebnis- 
sen bis zu Krankheitssymptomen. 

Es folgt ein Bußgeld in Höhe von 10,4 
Millionen Euro, das die niedersächsische 
Datenschutzbeauftragte gegen Note- 
booksbilliger.de verhängt hat (DANA 
1/2021, 45). Anders als H&M, die kein 
Rechtsmittel einlegen wollten, um den 
Fall möglichst schnell zu beenden, wehrt 
sich den Elektronikartikelanbieter gegen 
die Vorwürfe unzulässigerweise Mitar- 
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beiter überwacht zu haben. Die AOK in 
Baden-Württemberg musste wegen der 
Nutzung von Daten zu Werbezwecken 
ohne Einwilligung 1,2 Millionen Euro 
zahlen (DANA 3/2020, 186). 

Es erfolgten auch kleinere Bußgel- 
der, die häufig auf Unwissenheit und 
Fahrlässigkeit zurückgehen. Ein Anwalt 
musste 8.000 € zahlen, weil er aufgrund 
einer Namensgleichheit einen falschen 
Handwerker als Schuldner beschuldigt 
hatte. Auch beim Wechsel ins Homeof- 
fice ist es gemäß den Angaben zu Da- 
tenpannen gekommen. Die Kontaktda- 
tensammlung zur Nachverfolgung von 
Infektionsketten hat mehrfach zu Ver- 
gehen geführt. 

2020 hat es gemäß den Angaben 
insgesamt 301 Bußen gegeben, 2019 
waren es 187. Die meisten Strafen gab 
es im vergangenen Jahr in Nordrhein- 
Westfalen (93), gefolgt von Thüringen 
(40), Sachsen (29) und Niedersachsen 
(27). Bei den Datenpannen lag dagegen 
Bayern (5.294) vorn, vor Baden-Würt- 
temberg, wo 2.320 gemeldet wurden 
und Nordrhein-Westfalen (1.775). Der 
Bundesdatenschutzbeauftragte Ulrich 
Kelber hat selbst 2020 kein Bußgeld 
verhängt. Im Jahr zuvor hatte er 181 
zu einer Strafe von 9,6 Millionen Euro 
verdonnert, die ein Gericht auf 900.000 
Euro herabsenkte (DANA 1/2020, 50, 
1/2021, 62) (Weiß, Mehr Bußgelder 
wegen DSGVO-Verstößen in 2020, www. 
heise.de 16.02.2021, Kurzlink: https:// 
heise.de/-5056383). 


Bundesweit 


Eventus-Datenleck bei 
Corona-Schnelltests 


Bei einer Betreiberin von Corona- 
Schnelltestzentren, der auf die Vermark- 
tung von Verbrauchsgütern spezialisier- 
ten Firma Eventus Media International, 
kam es für Betroffene in verschiedenen 
Städten, u.a. Berlin, Hamburg und Leip- 
zig, durch eine schlechte Absicherung 
der Webseite testcenter-corona.de zu 
einem Datenleck. Betroffen von der Lü- 
cke waren am 06.04.2021 über 14.000 
Registrierungen mit hinterlegtem Tes- 
tergebnis und persönlichen Daten wie 
Name, Anschrift, Geburtsdatum, Tele- 
fonnummer und E-Mail-Adresse. 
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Entdeckt hat das Leck die Hacker- 
gruppe Zerforschung, die auch zusam- 
men mit dem Chaos Computer Club (CCC) 
einer Sicherheitslücke beim Startup 
21DX und dessen Dienstleister Medicus 
Ai auf die Spur gekommen war, über 
die Informationen von rund 130.000 
Getesteten abgerufen werden konnten. 
Diesmal waren 5.800 Bürger in Leipzig, 
jeweils rund 3.000 in Berlin und Ham- 
burg, 1.400 in Schwerte sowie 800 in 
Dortmund betroffen. Statt die eigene 
Website von Grund auf selbst zu entwi- 
ckeln, hatte Eventus die betroffene Do- 
main laut den IT-Sicherheitsexperten 
auf dem weitverbreiteten Open-Source- 
Blog- und Content-Management-Sys- 
tem WordPress aufgesetzt. Das Unter- 
nehmen nutzte die dafür vorhandene 
breite Palette an Erweiterungen für das 
Buchen von Terminen und Abrufen von 
Testergebnissen. Der Nutzer muss dafür 
eine zufällige zehnstellige, alphanume- 
rische Zeichenkette eingeben. 

Zum Verhängnis wurde Eventus, dass 
die Zuständigen für die Testzentren- 
Homepages einen eigenen Wordpress- 
Inhaltstypus „registration“ für Schnell- 
test-Registrierungen anlegten und als 
Schnittstelle (API) verfügbar machten. 
Darauf bildeten sie Terminbuchungen 
und Testzertifikate ab. Die API-Zugriffs- 
möglichkeit dafür war entgegen übli- 
cher Gepflogenheiten aktiviert, sodass 
alle Registrierungen auch darüber von 
außen abrufbar waren. Die Tüftler fan- 
den dabeiin der abgefragten Liste sämt- 
liche Abrufcodes für Ergebnisse und die 
damit verknüpften persönlichen Infor- 
mationen: „Dasistin etwa so, als würde 
man sich einen Safe einbauen lassen, 
aber den Code dann direkt daneben le- 
gen.” Die zehnstelligen Zeichenfolgen 
hätten sich auf der Testergebnisabfrage- 
Seite eingeben und die Resultate dann 
zusammen mit einem informationsrei- 
cheren PDF für eine gegenüber Dritten 
vorzeigbaren Bescheinigung herunter- 
laden lassen. Zudem habe es kein Limit 
gegeben, wie viele Ergebnisse in einem 
definierten Zeitraum abrufbar gewesen 
seien. Eine solche Grenze hätte die Hür- 
de für Angreifer etwas erhöht. 

Um möglichst schnell die abrufbaren 
sensiblen Gesundheitsdaten zu schüt- 
zen und die Lücke zu schließen, schlu- 
gen die Forscher beim Bundesamt für 
Sicherheit in der Informationstechnik 


(BSI) Alarm. Dieses habe das Problem 
anonymisiert an Eventus weitergeleitet. 
Die Firma habe das Leck noch am sel- 
ben Tag abgedichtet. Zusätzlich führte 
sie am nächsten Tag ein weiteres Feld 
zur Abfrage zusätzlicher Angaben beim 
Abruf eines Testergebnisses ein. Codes, 
die vor der Umstellung erstellt worden 
waren, setzte das Unternehmen zurück 
und schickte den Betroffenen neue Zu- 
gangsdaten. 

Ein Eventus-Sprecher räumte ein, 
dass man die Testcenter einschließlich 
der damit verbundenen Datenverarbei- 
tungssysteme „mit großer Eile hoch- 
gezogen” habe. Dabei sei zwar eine Zu- 
sammenarbeit mit „versierten IT-Spezi- 
alisten” erfolgt, um „die größtmögliche 
Sicherheit gewährleisten zu können”. 
Die Firma entschuldigte sich dafür, 
„dass Hacker trotzdem auf einen Teil der 
Daten zugreifen konnten“. 

Zerforschung zufolge waren drei Tage 
nach dem Bekanntwerden des Leaks 
die Kunden noch nicht über die Panne 
informiert worden. Um solche Vorfäl- 
le künftig zu vermeiden, sollten die 
Datenschutzbehörden „empfindliche 
Strafen verhängen”“. Der Schutz von 
Gesundheitsdaten dürfe auch in ei- 
ner Pandemielage nicht auf die leichte 
Schulter genommen werden, schnelle 
Handlungsfähigkeit dürfe keine Aus- 
rede sein. Unternehmen müssten ihrer 
Sorgfaltspflicht vor dem Start eines di- 
gitalen Angebots nachkommen (Krem- 
pl, Sicherheitslücke: Daten tausender 
Corona-Getesteter ungesichert im Netz, 
www.heise.de 09.04.2021, Kurzlink: 
https://heise.de/-6010505). 


Bundesweit 


Künast verklagt Facebook 
wegen Falschzitat 


Die Bundestagsabgeordnete Renate 
Künast (Grüne) hat vor dem Landgericht 
Frankfurt am Main (LG) Klage gegen Fa- 
cebook eingereicht, um eine Grundsatz- 
entscheidung zur Löschung von Hass- 
postings herbeizuführen. Das geht aus 
einer Unterlassungserklärung hervor, 
die Künast an die irische Europazentra- 
levon Facebook geschickt hat. Die Bun- 
destagsabgeordnete fordert darin, dass 
Facebook nicht nur einen einzelnen 
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Beitrag mit einem ihr fälschlicherweise 
zugeschriebenen Zitat löscht, sondern 
auch alle „identischen“ und „sinnglei- 
chen Inhalte auf der ganzen Plattform“. 

Sie erklärte: „Ich habe mich lange 
mit dem Thema beschäftigt und gese- 
hen, welche Wucht mit organisiertem 
und orchestriertem Rechtsextremismus 
entwickelt werden kann. Ein Werkzeug 
ist, Zitat zu erfinden und dann rumzu- 
schicken. Ich möchte für alle Betrof- 
fenen erreichen, dass das Vorgehen 
gegen Falschzitate nicht zu ihrer ener- 
giefressenden Lebensaufgabe wird.” 
Sie persönlich habe genug davon, dass 
Facebook die eigene Verantwortung 
leugne. „Es kann nicht sein, dass ich 
als einzelne Betroffene es mir zur Le- 
bensaufgabe machen muss, das gesam- 
te Facebook-Netz abzusuchen, um jede 
Kopie eines verleumderischen Falsch- 
zitats zu suchen, zu melden und dann 
löschen zu lassen. Ich möchte an dieser 
Stelle eine Grundsatzentscheidung hin- 
bekommen.” Eine solche Entscheidung 
könne eine grundsätzliche Wirkung da- 
raufhaben, wie sich Menschen in dieser 
Gesellschaft einbringen. 

Die Klage vor dem LG wird von der 
gemeinnützigen Organisation Hate 
Aid und der Alfred Landecker Found- 
ation unterstützt. Eingereicht wurde 
die Klage durch die Würzburger Kanz- 
lei von Chan-jo Jun, die bereits mehr- 
fach gegen Facebook klagte. Bei dem 
Facebook-Beitrag handelt es sich um 
eine Bild-Text-Kachel, in der neben ei- 
nem Foto von Künast das folgende Zitat 
steht, welches frei erfunden ist: „In- 
tegration fängt damit an, dass Sie als 
Deutscher mal Türkisch lernen.“ Dieses 
falsche Zitat wurde wiederholt auf Fa- 
cebook geteilt und führte zu Hasskom- 
mentaren gegen die Politikerin. In Fäl- 
len von solchen Verleumdungen müs- 
sen Betroffene bisher jeden einzelnen 
Beitrag an Facebook melden, damit er 
anschließend von Firmenmitarbeitern 
geprüft wird. Falls der gleiche Beitrag 
an anderer Stelle im sozialen Netzwerk 
- zum Beispiel in geschlossenen Grup- 
pen - von anderen Nutzern veröffent- 
licht wurde, bleibt er dort online. 

Hate-Aid-Geschäftsführerin Anna- 
Lena von Hodenberg sagte, wenn solche 
Falschinformationen über Privatperso- 
nen teils tausendfach hochgeladen und 
geteilt würden, könne dies Leben zer- 
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stören. Die Beratungsstelle der Organi- 
sation arbeite an Dutzenden ähnlichen 
Fällen. 

Facebook hatte sich im aktuellen Fall 
bereit erklärt, zumindest alle identi- 
schen Kopien des umstrittenen Beitrags 
zu löschen, so ein Sprecher des Kon- 
zerns: „Wir haben das von Frau Künast 
gemeldete falsche Zitat von der deut- 
schen Facebook-Plattform entfernt und 
Frau Künast darüber informiert, dass 
wir ebenfalls Schritte einleiten, um 
identische Inhalte zu identifizieren und 
zu entfernen.” 

In der letzten Zeit erleben Menschen 
noch mehr Hass im Internet als zuvor. 
Viele der Äußerungen sind rechtswid- 
rig, doch die Betroffenen können ihre 
Rechte auf Löschung und Strafver- 
folgung nur schwer durchsetzen. Das 
liegt, so Künast, an der mangelnden 
Kooperation von Facebook, Twitter 
und anderen Plattformbetreibern, die 
es darauf ankommen ließen, dass die 
Betroffenen ihre Rechte vor Gericht 
einklagen. Da es kaum Rechtsprechung 
gibt und sich die Unternehmen wehren, 
sind Betroffene gezwungen den Weg 
durch die Instanzen zu gehen. Das ist 
aufwändig und teuer; die meisten Be- 
troffenen trauen sich darum nicht. So 
kommen die Täter mit ihrem Verhalten 
durch. Meist sind es Frauen, die zum 
Ziel von Hass im Netz werden, so Anna- 
Lena von Hodenberg: „Es trifft Kom- 
munalpolitikerinnen, Aktivistinnen 
und Journalistinnen, die mundtot ge- 
macht werden sollen. Leider ist das er- 
folgreich.” Künast will nicht zulassen, 
dass die Medienkonzerne diesen Hass 
weiter befeuern und damit Geschäfte 
machen: „Die Zukunft der Demokra- 
tie wird im Netz entschieden“ (Rena- 
te Künast verklagt Facebook wegen 
Falschzitat, www.zeit.de 27.04.2021; 
Werner, Renate Künast verklagt Face- 
book, SZ 28.04.2021, 16) 


Bundesweit 


Datenschutzaufsicht zu 
Warnungen vor IT-Produk- 
ten berechtigt 


Ein durch den Arbeitskreis (AK) 
Grundsatz der Datenschutzkonferenz 
erstelltes und publik gewordenes vor- 


läufiges Gutachten kommt zu dem 
Schluss, dass es unter Einhaltung 
des Gebots der Sachlichkeit und der 
Richtigkeit rechtens ist, wenn Da- 
tenschutzaufsichtsbehörden vor dem 
Einsatz bestimmter IT-Produkte war- 
nen. In der Vergangenheit waren die 
deutschen Datenschutzbehörden mit 
Aussagen zu Produkten eher zurück- 
haltend. Zuständig für Warnungen vor 
deren Einsatz waren ihrer Auffassung 
nach eher Verbraucherschutzverbän- 
de oder, wenn es um die IT-Sicherheit 
ging, das Bundesamt für Sicherheit in 
der Informationstechnik. 

Der Bedarf von Unternehmen und 
Verwaltungen nach Videokonferenz- 
Diensten und Collaboration-Tools 
während der Corona-Pandemie führte 
zu steigenden Beratungsanfragen. Zu- 
nehmend äußerten sich Datenschützer 
zu solchen Tools und sprachen Emp- 
fehlungen oder Warnungen aus, meist 
nach Kriterien der Datenschutzkonfor- 
mität wie Verschlüsselung, Verarbei- 
tung und Übertragung personenbezo- 
gener Daten, Privacy-Einstellungen der 
Tools usw. Prominente Beispiele sind 
die Warnung vor dem Einsatz von Zoom 
durch den Landesbeauftragten für den 
Datenschutz und die Informationsfrei- 
heit Baden-Württemberg (LfDI) Stefan 
Brink, die er nach Nachbesserungen 
durch Zoom wieder zurücknahm, oder 
die ständig aktualisierte Liste der 
gängigsten Videokonferenz-Tools mit 
Ampelwertungen der Berliner Beauf- 
tragten für den Datenschutz und die 
Informationsfreiheit (BlnBDI) Maja 
Smoltczyk. 

Da solche Warnungen erhebliche 
Auswirkungen auf Unternehmen haben 
können, etwa Umsatzeinbußen oder 
eine schlechte Reputation, war um- 
stritten, ob Aufsichtsbehörden hierzu 
befugt sind. In einer Zwischenkonfe- 
renz beschlossen die Datenschutzbe- 
hörden des Bundes und der Länder die 
Rechtmäßigkeit solcher Warnungen zu 
überprüfen und beauftragten den AK 
Grundsatz, „die Rahmenbedingungen 
aufsichtsbehördlicher Produktwarnun- 
gen, insbesondere Rechtsgrundlagen, 
Anforderungen an Beweiserhebung 
und Verfahren sowie Haftungsfragen 
zu analysieren und der Datenschutz- 
konferenz möglichst bis zur 100. Sit- 
zung der Konferenz der unabhängigen 
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Datenschutzaufsichtsbehörden des 
Bundes und der Länder zu berichten“. 

Dieses (vorläufige) Gutachten liegt 
nach einer Anfrage gemäß dem In- 
formationsfreiheitsgesetz vor. Eine 
Rechtsgrundlage für „aufsichtliche 
Produktwarnungen” ist nach Auf- 
fassung des AK Grundsatz durch die 
DSGVO sowie durch manche Landes- 
datenschutzgesetze grundsätzlich 
gegeben. Sie müssen inhaltliche Kri- 
terien erfüllen: Der zugrundeliegende 
Sachverhalt muss „sorgsam aufgeklärt 
und richtig wiedergegeben sein”. Die 
Richtigkeit bedeutet in diesem Zu- 
sammenhang auch, dass bei Software 
jedes Update erneut zu überprüfen ist 
beziehungsweise die Warnung nur für 
die entsprechenden Versionen ausge- 
sprochen wird. 

Des Weiteren muss die Warnung sich 
ausschließlich auf sachliche Gründe 
beziehen, sachfremde Erwägungen 
sind ebenso unzulässig wie eine un- 
sachliche oder herabsetzende Darstel- 
lung. Vor Aussprechen einer Warnung 
ist zu prüfen, ob dieses Vorgehen an- 
gemessen ist oder vielleicht „mildere 
Mittel” ebenfalls zur Vermeidung von 
Datenschutzverletzungen führen kön- 
nen - beispielsweise eine Abstimmung 
mit dem Hersteller, der den Mangel 
zeitnah abstellen könnte. Halten die 
Datenschutzbehörden diese Voraus- 
setzungen für eine Produktwarnung 
nicht ein, kann das zu Unterlassungs- 
ansprüchen führen oder gar eine Haf- 
tung auslösen. 

Diese Bedingungen sind eine Her- 
ausforderung für die Aufsichtsbehör- 
den, denn es dürfte schwierig sein alle 
Produkte umfassend zu beurteilen und 
sich nicht nur einige Punkte herauszu- 
greifen. Weitere Schwierigkeiten be- 
stehen darin, dass die verschiedenen 
Datenschutzbehörden nicht zwingend 
dieselbe Rechtsauffassung haben, zum 
Beispiel was die Datenübermittlung in 
Drittländer anbelangt. Was für den ei- 
nen rechtswidrig ist, ist für die andere 
rechtskonform und nicht zu beanstan- 
den. Da sich aus diesem Zwischenstand 
weitere Fragen ergeben haben, will das 
Gutachten nicht abschließend sein 
(Roos, Datenschutzaufsichtsbehör- 
den dürfen vor IT-Produkten warnen, 
www.heise.de 08.04.2021, Kurzlink: 
https://heise.de/-6009097). 
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Baden-Württemberg 


Bußgeld gegen den VfB 
Stuttgart wegen Daten- 
missbrauch 


Am 10.03.2021 hat der Landesdaten- 
schutzbeauftragte von Baden-Württem- 
berg (LfDI) Stefan Brink mit einer Buß- 
geldfestlegung in Höhe von 300.000 € 
den September 2020 bekannt gewor- 
denen Datenskandal beim VfB Stutt- 
gart abgeschlossen. Geahndet wurde 
die „fahrlässige Verletzung der daten- 
schutzrechtlichen Rechenschaftspflicht 
gemäß Art. 5 Abs. 2 DS-GVO”. Der Verein 
verpflichtet sich in Abstimmung mit der 
Behörde zudem zu einer kostenträch- 
tigen Umstrukturierung seines Daten- 
schutzmanagements sowie zu weiteren 
Maßnahmen. So will man insbesondere 
junge Menschen für Datenschutzanlie- 
gen sensibilisieren. 

Hierzu will der Bundesligist die Initia- 
tive „Datenschutz geht zur Schule“ (sie- 
he Seite 85) fördern. Realisiert werden 
soll das durch Unterstützung bei der Öf- 
fentlichkeitsarbeit für regionale Schul- 
Aktionstage und im Rahmen kind- und 
Jugendgerechter Videos zur Sensibilisie- 
rung für datenschutzrelevante Themen. 
Zudem will der VfB zum Thema „Daten- 
schutz bei Jugendlichen” Schulungen 
für seine Nachwuchsmannschaften von 
der U10 bis zur U21 konzipieren. 

Hintergrund des Verfahrens ist, dass 
im Jahr 2017 rund 100.000 Datensät- 
ze, unter anderen von Mitgliedern, an 
Dritte weitergegeben und für Marke- 
tingmaßnahmen missbraucht wurden, 
als es um die Zustimmung der Mitglie- 
der bei der Entscheidung ging, ob der 
Bundesligist seine Fußballsparte in eine 
Aktiengesellschaft (AG) ausgliedern 
soll, was letztlich mit einer Mehrheit 
von 84% bestätigt wurde. VfB-Präsident 
Claus Vogt hatte nach Bekanntwerden 
der Datenaffäre die Kanzlei Esecon mit 
der Untersuchung des Vorgangs beauf- 
tragt, die in ihrem Abschlussbericht zu 
dem Ergebnis kam, dass der Verein die 
Daten an den externen Dienstleister 
weitergegeben hat, ohne die Mitglie- 
der darüber zu informieren. Dies sei ein 
„Jäuschungsversuch” und „damit ein 
Vertrauensbruch” gewesen. Es sei „sehr 
wahrscheinlich”, dass die Daten für 


„Guerilla-Marketing” benutzt worden 
seien, um subtil Einfluss zu nehmen. 
Ziel sei es gewesen die Anhänger 2017 
im Vorfeld der Mitgliederversammlung 
von der Ausgliederung des Profifußballs 
in eine Aktiengesellschaft zu überzeu- 
gen. Die Aufklärungsarbeit sei von meh- 
reren Funktionsträgern im Verein be- 
hindert worden. Die Zuordnung der Ver- 
antwortlichkeit war dadurch erschwert 
worden, dass die relevante Mail auf dem 
VfB-Server gelöscht worden war. 

Über die rechtliche Bewertung der 
Esecon-Ergebnisse hatte es beim VfB ei- 
nen heftigen Streit gegeben. Vogt mein- 
te zunächst, man müsse das „ersteinmal 
intern klären. Es gibt unterschiedliche 
Anschauungen darüber, wer die recht- 
liche Bewertung vornehmen soll”. Vogt 
hatte dann am 04.02.2021 die Stuttgar- 
ter Staatsanwaltschaft eingeschaltet, 
da „der Verdacht eines Geheimnisver- 
rats (...) im Raume steht”. Es gebe „das 
Ziel und die Absicht“, ihn persönlich zu 
beschädigen: „Dieser Schritt war nötig 
geworden, um falschen Gerüchten ent- 
gegenzuwirken.” Nach Erlass des Buß- 
gelds erklärte Vogt: „Hinter uns liegen 
harte Monate; sie waren auch schmerz- 
haft. Wir bitten um Entschuldigung für 
das, was beim VfB passiert ist.” Der Vor- 
standschef der gegründeten AG, Tho- 
mas Hitzelsberger, der zum Zeitpunkt 
des Datenmissbrauchs ebenso wie Vogt 
noch nicht im Amt war, erklärte auch, 
der Vorgang sei nun abgeschlossen. 
Schon die Aufklärung der Affäre habe 
sowohl den eingetragenen Verein als 
auch die AG jeweils einen sechsstelligen 
Betrag gekostet. Vogt und Hitzlsber- 
ger hatten sich zuletzt einen heftigen 
Machtkampf geliefert, wollen künftig 
aber wieder „vernünftig“ zusammenar- 
beiten. 

LfDI Stefan Brink resümierte: „Auch 
wenn wir mit Blick auf Verjährungsvor- 
schriften nicht alle öffentlich diskutier- 
ten Vorgänge vollständig untersuchen 
konnten, ist doch das jetzt einvernehm- 
lich gefundene Ergebnis überzeugend: 
Neben dem spürbaren Bußgeld sorgt der 
VfB für erhebliche organisatorische und 
technische Verbesserungen in Sachen 
Datenschutz. Zudem planen die Ver- 
antwortlichen erfreulicherweise künf- 
tig ein Engagement bei der Aufklärung 
über Datenschutzanliegen, mit dem vor 
allem junge Menschen angesprochen 
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werden sollen.” Ende Februar 2021 hat 
der VfB personelle Konsequenzen gezo- 
gen und die leitenden Mitarbeiter Uwe 
Fischer und Oliver Scharf, die ehema- 
ligen Leiter Marketing und Kommuni- 
kation, freigestellt. Im Vorfeld dieser 
Maßnahme wurden zudem die Vorstän- 
de Stefan Heim (Finanzen) und Jochen 
Röttgermann abberufen (VfB bleibt eine 
AG, SZ 16.03.2021, 23; Maisel, Stefan 
Brink setzt Strafmaß für Bundesligis- 
ten fest, www.stuttgarter-nachrichten. 
de 10.03.2021, Ruf, Von der Affäre zur 
Welle, SZ 27./28.02.2021, 42, „Vertrau- 
ensbruch” und „Täuschungsversuch” 
- Datenschutz-Skandal beim VfB Stutt- 
gart, www.rtl.de 05.02.2021). 


Baden-Württemberg 


LfDI kritisierte Hochschul- 
Prüfungssoftware 


Der Landesbeauftragte für Daten- 
schutz und Informationsfreiheit von 
Baden-Württemberg (LfDI) Stefan Brink 
bewertet eine bei Online-Prüfungen 
eingesetzte Überwachungssoftware als 
„hochproblematisch”. Die von einigen 
Hochschulen des Landes in der Corona- 
Zeit eingesetzte Überwachungssoftware 
sei „jenseits dessen, was wir als Daten- 
schützer für vertretbar halten“. 

Studentinnen und Studenten müssen 
dabei eine „Fernaufsichts-Plattform” 
auf ihren Rechner spielen, um an einer 
Prüfung von zuhause teilnehmen zu 
können. Während des Examens müssten 
sie dann Kamera und Mikrofon anlassen 
und dürften ihren Platz vor dem Rech- 
ner nicht verlassen. Brink: „Man möchte 
an der Mimik erkennen, ob jemand be- 
trügt. Das halten wir für Hokuspokus. 
Das sind massive Eingriffe in die Freiheit 
der Studentinnen und Studenten.” Die 
Entscheidung über den Einsatz erfolgt 
häufig durch die Fakultäten. Mit der 
Software würden Geräte auch „durch- 
forstet“, ob sich Hilfsmittel darauf be- 
finden. „Da haben wir eine ganze Reihe 
von Hinweisen und Beschwerden“. 

Es gebe einen gesetzlichen Rahmen 
des Forschungsministeriums für Online- 
Prüfungen: „Die Hochschulen füllen 
diesen Rahmen sehr unterschiedlich 
aus.” Brink will demnächst Gespräche 
mit dem Haus von Wissenschaftsminis- 
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terin Theresia Bauer (Grüne) führen, 
um zu klären: „Wo sind die roten Lini- 
en und wo werden sie überschritten?” 
(Datenschützer beanstandet Überwa- 
chungssoftware bei Online-Hochschul- 
prüfungen, www.heise.de 08.02.2021, 
Kurzlink: https://heise.de/-5048988). 


Berlin 


Zalando ändert auf Druck 
seine „360-Grad-Uberwa- 
chung“ 


Die Behörde der Berliner Beauftrag- 
ten für Datenschutz und Informations- 
freiheit (BlnBDI) veranlasste den Mode- 
Online-Händler Zalando zu weitreichen- 
den Änderungen an einer seit Jahren 
im Einsatz befindlichen Software, mit 
der Beschäftigte bewertet wurden und 
die von Wissenschaftlern und Beschäf- 
tigten kritisiert wurde, weil sie Über- 
wachung, Leistungsdruck und Stress 
erzeugt. Ende 2019 wurde das System 
einer „360-Grad-Überwachung“ Gegen- 
stand der öffentlichen Kritik. Bei Zalan- 
do beurteilen Vorgesetzte und Mitarbei- 
ter umfassend Stärken und Schwächen 
von den ca. 5.000 Kollegen, was sich auf 
Gehalt, Jobsicherheit und die Personal- 
akte auswirkt. 

Die Berliner Datenschützer erklär- 
ten das System nicht grundsätzlich für 
unzulässig, sehen aber Gefahren: „Eine 
beschäftigte Person muss im Zweifel 
nicht nur bei Begegnungen mit Che- 
fin oder Chef jederzeit damit rechnen, 
dass ihr Verhalten das nächste Zeugnis 
beeinflusst, sondern auch bei jeder Be- 
gegnung mit einer anderen Person des 
Unternehmens.” Um der Überwachung 
des Personals entgegenzuwirken, darf 
ein Mitarbeiter nun nur noch von drei 
anderen bewertet werden. Zuvor waren 
es acht Personen gewesen. Die oder der 
Bewertete muss einverstanden sein, wer 
sie oder ihn bewertet, und darfim Zwei- 
fel ein Veto einlegen. Die Bewertungs- 
daten dürfen nicht mehr zeitlich unbe- 
grenzt aufbewahrt werden, sondern dür- 
fen, abgesehen vom Endergebnis, das in 
die Personalakte übernommen werden 
darf, nur kurz gespeichert werden. 

Um mehr Transparenz zu schaffen, 
erhalten die Beschäftigten ein Aus- 
kunftsrecht. Dagegen war von Zalando 


vorgebracht worden, dass dies Auswir- 
kungen auf das Persönlichkeitsrecht 
der Bewertenden hat. Die Auskunft wird 
nun erst nach Abschluss des Bewer- 
tungszyklus erteilt. Die Auskunft über 
untergeordnete Personen muss nicht 
erteilt werden, da dies diese davon ab- 
halten könnte, künftig ehrliche Bewer- 
tungen abzugeben. Ohne besondere 
Gründe angeben zu müssen, dürfen sie 
in ihre Personalakte Einblick erhalten, 
soweit umsetzbar direkt am Computer 
per Passworteingabe im automatisierten 
Verfahren. 

Zalando kam den Forderungen der 
BlnBDI Ende 2020 nach. Das Unterneh- 
men soll sich dabei - im Vergleich zu 
anderen Firmen - kooperativ gezeigt 
haben. Die Personalsoftware Zonar, de- 
ren Name inzwischen geändert wurde, 
erlaubte stichprobenartige Auswertun- 
gen. Abgeschafft wurde eine Punkte- 
skala, in der Mitarbeiter zu bestimmten 
Aspekten positive und negative Bewer- 
tungen abzugeben hatten. 

Zuvor hatte Europas größter Online- 
Modehändler das System verteidigt. Es 
sei „gelebte Feedback-Kultur” und fairer 
als ein System, in dem allein der jewei- 
lige Chef entscheidet, ob jemand beför- 
dert wird oder mehr Gehalt erhält: „Jetzt 
fließt ein, wie Kollegen, firmeninterne 
Kunden und Führungskräfte über einen 
denken”. 

People-Analytics-Instrumente sind 
in der Praxis schon weit verbreitet. 
Notwendig ist bei deren Einsatz, dass 
Sorgfaltspflichten gegenüber den Be- 
schäftigten eingehalten werden und 
kein Vertrauen zerstört wird. Negativ- 
schlagzeilen wegen einer übermäßigen 
Mitarbeiterkontrolle trafen neben dem 
Onlinehändler Amazon auch den fran- 
zösischen Caterer Sodexo. 

Bei Zalando existiert das Feedback- 
System nun zwar weiter, jedoch mit 
weitreichenden Änderungen. Philipp 
Staab von der Humboldt-Universität, 
der die Personalsoftware in einer zwei- 
jährigen Studie für die Hans-Böckler- 
Stiftung untersuchte, bewertete die 
Vorgaben der Berliner Datenschützer: 
„Die Behörde hat der Überwachungs- 
software ziemlich den Zahn gezogen”. 
Im Tätigkeitsbericht der BlnBDI heißt 
es: „Einschätzungen von Kolleginnen 
und Kollegen dürfen in die Bewertung 
der Arbeitsleistung von Beschäftigten 
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einfließen, wenn Ablauf und Inhalt 
den Betroffenen transparent gemacht 
wird, personenbezogene Daten nur im 
erforderlichen Umfang erhoben und 
gespeichert werden und ein dauerhaf- 
ter Überwachungsdruck vermieden 
wird.” Die Einschränkungen in Sachen 
Transparenz und Speicherdauer erfolg- 
ten bei Zalando erst nach Kritik und 
Datenschutzkontrolle. Soziologe Staab 
begrüßt, dass die Daten kürzer gespei- 
chert werden sollen. Zuvor hatten Be- 
schäftigte berichtet, dass Zalando zwar 
zugesichert habe, Bewertungsdaten 
rasch zu löschen; die Mitarbeiter hät- 
ten diese Daten dann trotzdem noch ein 
Jahr später gesehen. 

Die BlnBDI machte Vorgaben, ver- 
hängte aber kein Bußgeld. Staab meint, 
dass andere Unternehmen mehr auf- 
horchen würden, wenn Zalando sank- 
tioniert worden wäre: „Offenbar sind 
solche Vorkommnisse, die sich an der 
Grenze des Zulässigen bewegen, nur im 
Einzelfall prüfbar. Und dann dauert so 
eine Prüfung gut ein Jahr. Das ist ein 
dramatischer Befund für die Rechte der 
Arbeitnehmer.” Daraus folge, dass es 
starke Betriebsräte brauche, um Miss- 
ständen frühzeitig zu begegnen. Gerade 
bei Dienstleistern und in der Startup- 
Ökonomie gebe es aber sehr schwache 
Mitbestimmungsstrukturen. Staab hält 
deshalb eine politische Debatte über 
ein spezielles Datenschutzrecht für Be- 
schäftigte für notwendig (Hagelüken/ 
Kläsgen, „Permanenter Überwachungs- 
druck“, SZ 09.04.2021, 15; BlnBDI, Jah- 
resbericht 2020, Kap. 8.1). 


Berlin 


Datenschutzabmahnung 
wegen Teslas Wächter- 
Modus 


Ein Tesla-Besitzer hat gemäß einem 
Video-Bericht der Elektroauto-Vermie- 
tung nextmove Post von der Beauftrag- 
ten des Landes für Datenschutz und 
Informationsfreiheit bekommen. Darin 
teilte sie mit, dass ihre Behörde vom 
Ordnungsamt über seinen Einsatz des 
Tesla-Wächters informiert worden sei 
und dass ein dauerhafter anlassloser 
Betrieb der Kameras „jedenfalls daten- 
schutzrechtlich unzulässig“ sei. Tesla 
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bietet auf Grundlage der ohnehin vor- 
handenen Autopilot-Kameras für alle 
seine Elektroautos seit einiger Zeit ei- 
nen sog. Wächter-Modus an, bei dem die 
Kameras im Stehen weiterlaufen. Wenn 
etwas dem Tesla sehr nahe kommt oder 
er erschüttert wird, werden ihre Rund- 
um-Bilder aufgezeichnet. Ein Bußgeld 
kommt demnach auf den Tesla-Besitzer 
derzeit nicht zu. Die Datenschutzbe- 
hörde ließ ihn wissen, sie gehe sicher 
davon aus, dass er den Wächter-Modus 
künftig nur noch dort einsetzen werde, 
wo keine „unbeteiligten Passanten” auf- 
genommen werden können. 

Dass Teslas Wächter oder auch Dash- 
cams generell mit dem deutschen Recht 
ihre Schwierigkeiten haben, hatten Da- 
tenschützer schon zuvor betont (DANA 
4/2020, 227 ff.). Im September 2020 
berichtete das TV-Magazin Kontraste 
über das Thema und zitierte den Daten- 
schutzbeauftragten von Baden-Würt- 
temberg dazu, dem zufolge eine „ständi- 
ge” Aufzeichnung des Verkehrsgesche- 
hens unzulässig ist. Im gleichen Monat 
bekam Tesla auch wegen der Kameras 
den deutschen Big Brother Award. Neu 
ist, dass eine deutsche Behörde konkret 
einen Tesla-Besitzer angeschrieben und 
auf die nach ihrer Einschätzung unzu- 
lässige Wächter-Nutzung hingewiesen 
hat. 

Um zu erkennen, dass der Tesla- 
Wächter aktiviert ist, muss man sich 
dem Auto nähern - dann erscheint ein 
großer Hinweis mit Auge auf dem Bild- 
schirm im Auto. Von da an werden auch 
die letzten Minuten der Video-Bilder 
nicht mehr wie sonst überschrieben, 
sondern als Wächter-Ereignisse ge- 
speichert, die man sich später ansehen 
kann. Auf diese Weise wurden angeb- 
lich schon mehrere absichtliche oder 
versehentliche Zerstörungen an Teslas 
und anderen Autos in deren Umfeld 
aufgeklärt. Gemäß der Berliner Daten- 
schutzbehörde sind die „schutzwürdi- 
gen Interessen” aller anderen Personen 
im Kamera-Blickfeld höher zu werten 
als der Wunsch des Tesla-Fahrers nach 
Video-Sicherheit beim Parken. Weil er 
keinen Bußgeld-Bescheid bekommen 
hat, dürfte es vorerst keine gerichtliche 
Entscheidung über die Kamera-Frage 
bei Tesla geben. Es wird darüber spe- 
kuliert, dass Ordnungsamt-Personal in 
Zukunft Schulungen für das Erkennen 


des Wächter-Modus bekommen könnten 
(Bericht: Tesla-Besitzer wegen Wächter- 
Modus von Berliner Datenschutz-Behör- 
de verwarnt, teslamag.de 07.03.2021) 


Berlin 


Zoo-Jahreskarten mit 
Gesichtserkennung 


Der Zoo Berlin will ein System zur Ge- 
sichtserkennung einführen, das den 
Einlass von Personen mit Jahreskar- 
ten erleichtern soll. Der Plan, ab dem 
20.04.2021 biometrische Daten von den 
Betreffenden zu erfassen, sorgte in der 
Berliner Politik für erheblichen Unmut 
und führte zu datenschutzrechtlichen 
Zweifeln. Berlins Datenschutzbeauftragte 
Maja Smoltczyk war nicht vorab über das 
Vorhaben informiert worden. Nach der 
Kenntnisnahme wurde dort eine Prüfung 
eingeleitet und dem Zoo ein Fragenkata- 
log zugesendet. Smoltczyk erklärte, die 
automatisierte Erkennung biometrischer 
Daten sei „nur in Ausnahmefällen” zuläs- 
sig. Es sei fraglich, „ob diese hier wirklich 
erforderlich ist und nicht ein milderes 
Mittel zur Verfügung steht“. 

Für den Zoo Berlin ist das Projekt Teil 
seiner Bemühungen um Digitalisierung 
der Abläufe und um Modernisierung des 
Einlasses. Bisher müsse bei den Jahres- 
karten von Hand kontrolliert werden, 
ob das Foto auf dem Ticket mit der Per- 
son übereinstimmt. Das wolle man mit 
Technik der Paderborner Firma HKS 
beschleunigen, die sich auf Einlass- 
und Kassensysteme spezialisiert hat. 
Spezielle Kameras an einer neuen Dreh- 
kreuzanlage am „Löwentor”-Eingang 
sollen dann beim erstmaligen Besuch 
Gesichtsmerkmale der Jahreskartenin- 
haber registrieren und der jeweiligen 
Karte zuordnen. Bei folgenden Besu- 
chen solle dann ein automatischer Ab- 
gleich erfolgen. 

Die Nutzung sei, so der Zoo, komplett 
freiwillig. Die Einführung des neuen Sys- 
tems erfolge „in enger Abstimmung mit 
der Datenschutzbeauftragten” des Zoos. 
Wer seine Daten nicht erfasst haben wol- 
le, könne sich auch weiter wie gewohnt 
am Einlass kontrollieren lassen. Die Inha- 
berinnen und Inhaber der Jahreskarten 
wurden postalisch angeschrieben und 
informiert. Allerdings weisen die Schrei- 
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ben nicht explizit darauf hin, dass die 
Teilnahme freiwillig ist. 

Berliner Politiker der rot-rot-grünen 
Koalition stehen der Sache mit großer 
Ablehnung gegenüber, so z.B. Sven 
Kohlmeier, Sprecher der Berliner SPD- 
Fraktion für Rechts- und Netzpolitik: 
„Eine Software zur Gesichtserkennung 
einzuführen, wäre wohl das Letzte gewe- 
sen, was mir eingefallen wäre, wenn es 
um einen beschleunigten Einlass in den 
Zoo geht”. Sven Schüsselburg von der 
Linkspartei erklärte: „Das geht gar nicht. 
Zweck und Mittel stehen in keinem Ver- 
hältnis.“ Zoo-Chef Andreas Knieriem 
musste dem Abgeordnetenhaus in einer 
Sitzung des Ausschusses für Datenschutz 
Rede und Antwort stehen. 

Der Zeitpunkt das datenschutzkriti- 
sche System einzuführen war ungüns- 
tig gewählt. Erst einen Monat zuvor 
musste der Berliner Zoo mitteilen, dass 
ein schweres Datenleck bei einem nie- 
derländischen Ticketdienstleister auch 
Daten seiner Gäste kompromittierte. 
Zusammen mit dem Berliner Tierpark 
seien Datensätze zu 400.000 Gästen 
geleakt (Kannenberg, Zoo Berlin: Streit 
um Gesichtserkennung für Jahreskar- 
tenbesitzer, www.heise.de 09.04.2021, 
Kurzlink: https://heise.de/-6010595). 


Berlin 


Grundbuchauskünfte über 
Minister Spahn im Streit 


Am 24.02.2021 stand der Bundesge- 
sundheitsminister Jens Spahn im Bun- 
destag Rede und Antwort zur Pande- 
mie. Praktisch zeitgleich stand in der 
Bundespressekonferenz der Privatmann 
Jens Spahn zur Debatte, wobei sein Mi- 
nisteriumssprecher Hanno Kautz klar- 
stellte: „Das ist eine Privatangelegen- 
heit des Ministers. Ich sitze hier nicht, 
um die privaten Angelegenheiten des 
Ministers zu besprechen.” Zuvor hatten 
Zeitungen berichtet, Spahn lasse über 
seinen Anwalt „offenbar Journalisten 
unter anderem von Spiegel, Bild, Stern 
und Tagesspiegel über deren Recher- 
che zu seinen Immobiliengeschäften in 
Berlin ausforschen”, wie sich aus einem 
Schreiben von Spahns Anwälten an das 
Amtsgericht im Berliner Bezirk Schöne- 
berg vom Dezember 2020 ergäbe. 


DANA ® Datenschutz Nachrichten 2/2021 


Hintergrund ist der Kauf einer Woh- 
nung in Schöneberg durch Spahn, die 
dem ehemaligen Pharma-Manager Mar- 
kus Leyck Dieken gehörte. Spahn hatte 
den Manager Dieken später mit der Ge- 
schäftsführung der Gematik GmbH be- 
traut. Die Gematik ist zu mehr als 50% 
im Besitz des Bundes und soll die Digi- 
talisierung im Gesundheitswesen vor- 
antreiben. Sprecher Kautz erklärte: „Es 
gibt da keinen Zusammenhang.” Spahn 
habe die Wohnung im August 2017 
gekauft, im März darauf sei er erst Ge- 
sundheitsminister geworden. Ein Jahr 
später dann habe sich der Bund an der 
Firma Gematik beteiligt, im Juli 2019 
sei Dieken zum Geschäftsführer berufen 
worden. Kautz: „Da liegen zwei Jahre 
dazwischen.” 

Dennoch reagierte Spahn offenbar 
äußerst empfindlich auf Nachforschun- 
gen von Journalisten beim Grundbuch- 
amt, das zum Amtsgericht gehört. Sei- 
ne Anwälte forderten das Amtsgericht 
auf, den gesamten Schriftverkehr mit 
der Zeitung und „sämtliche etwaige 
weitere Presseschreiben” mitsamt den 
Antworten des Grundbuchamtes her- 
auszugeben. Zudem hat Spahn offenbar 
die Namen all der Journalisten wissen 
wollen, die sich nach seinen Immobi- 
liengeschäften erkundigt hatten: „Um 
wen handelt es sich?” 

Kautz erklärte, weshalb Spahn sei- 
nerseits Nachforschungen anstellen 
ließ: „Er hat als Privatmann sein Recht 
gegenüber dem Grundbuchamt wahr- 
genommen. Eine Einsichtnahme in das 
Grundbuch erforderte ein berechtigtes 
Interesse.” Tatsächlich haben Presse- 
vertreter das Recht, Informationen bei 
Grundbuchämtern über die Besitzver- 
hältnisse fremder Immobilien einzuho- 
len, wenn es daran ein übergeordnetes 
„berechtigtes” Interesse gibt. Im Um- 
feld von Spahn heißt es, dass einige der 
Anfragen zu seinen Immobilien ohne 
jegliche weitere Erklärung gestellt wor- 
den seien. Spahn wolle sich das nicht 
bieten lassen und fordere nur sein 
Recht auf den Schutz seiner Daten als 
Privatperson ein. Kautz: „Das Grund- 
buchamt hat in diesem Fall sowohl ge- 
gen die Grundbuchordnung als auch 
gegen die EU-Datenschutzverordnung 
verstoßen.” 

Die Grundbuchämter dürfen grund- 
sätzlich Auskünfte über journalistische 


Nachfragen geben. Im Jahr 2000 hat 
das Bundesverfassungsgericht (BVerfG) 
geurteilt, dass die Behörden dabei um- 
sichtig sein sollten. Dies bezog sich aber 
auf Recherchen im kriminellen Milieu, 
bei dem es Versuche geben könnte, 
Journalisten einzuschüchtern. 

Zuvor schon hatten Spahn und sein 
Ehemann im Sommer 2020 mit Journa- 
listen Probleme gehabt, als die beiden 
eine Villa im Berliner Bezirk Dahlem 
gekauft hatten. Pressevertreter hatten 
sich daraufhin mehrfach beim Grund- 
buchamt nach dem Kaufpreis erkun- 
digt und dies u.a. mit Spahns Aussage 
begründet: „Hartz IV bedeutet keine 
Armut.” Obwohl das Grundbuchamt 
den Betrag daraufhin nannte, ging das 
Ehepaar gegen genauere Angaben zum 
Wert der „Millionenvilla” mit Unterlas- 
sungsklagen vor. Darin wurde das Paar 
bestätigt: Das Hamburger Landgericht 
urteilte, dass der Kaufpreis „rechtswid- 
rig durch ein Durchstechen” an die Öf- 
fentlichkeit gekommen sei. Die Summe 
habe nicht genannt werden dürfen. Der 
beklagte „Tagesspiegel“ hat gegen das 
Urteil erfolgreich Berufung eingelegt 
(Heidtmann, „Das ist eine Privatangele- 
genheit des Ministers“, SZ 25.02.2021, 
15; siehe unten S. 144). 


Brandenburg 


Hartge stellt Tätigkeits- 
bericht 2020 vor 


Die Landesbeauftragte für Daten- 
schutz und Akteneinsicht in Branden- 
burg (LDABbg), Dagmar Hartge, stellte 
am 03.05.2021 ihren Tätigkeitsbericht 
2020 vor: Von 70 Verfahren wegen Da- 
tenschutzverstößen in Brandenburg 
wurden Jahr 2020 16 mit der Verhän- 
gung eines Bußgelds abgeschlossen. 
Zahlreiche der Verfahren, die von 
Staatsanwaltschaften an die Daten- 
schützerin weitergeleitet wurden, sei- 
en an andere Aufsichtsbehörden abge- 
geben worden. Insgesamt hat die Be- 
hörde Bußgelder in Höhe von 331.200 € 
verhängt: „Bußgelder orientieren sich 
am Einkommen von Personen und dem 
Umsatz von Unternehmen. Wir gehen 
mit Augenmaß vor. Diese Bußgelder 
wurden tatsächlich bezahlt und muss- 
ten nicht gesenkt werden, wozu es in 
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anderen Bundesländern wie im Fallvon 
1&1 gekommen ist.” Die Umsätze seien 
in Brandenburg oft niedriger als in an- 
deren Bundesländern. 

Für 2020 verzeichnete die Behörde 
1.322 Beschwerden, im Vergleich zum 
Vorjahr 2019 war das ein Anstieg um 
50%. 15% mehr Datenpannen wurden 
gemeldet und die Zahl der Hinweise 
und Verwarnungen wuchs um 70%. 
Corona hat auch im Hinblick auf den 
Datenschutz dem Jahr 2020 seinen 
Stempel aufgedrückt, u.a. wegen des 
virtuellen Fernunterrichts und der ver- 
mehrten Arbeit im Homeoffice. 

Aus dem Bereich der datenschutz- 
rechtlich kontroversen Unterrichtsplatt- 
formen hob Hartge einen Fall hervor, in 
dem ein Schüler eine Datenpanne in der 
Microsoft-Cloud gemeldet hatte. Über 
Microsoft-Office konnte er auf persönli- 
che Daten in vier Schulen zugreifen, da- 
runter Schuldokumente, Unterrichtsvor- 
bereitungen, Mails von Lehrern und de- 
ren Kontaktdaten. Lehrer hatten fälsch- 
licherweise Benutzergruppen von privat 
auf öffentlich umgestellt. Die Schule 
hatte außerdem weder einen Vertrag zur 
Auftragsdatenverarbeitung geschlossen 
noch eine Datenschutz-Folgenabschät- 
zung vorgenommen. 

Da das Urteil des Europäischen Ge- 
richtshofs zum Privacy Shield (DANA 
3/2020, 199 ff.) auch für Schulen qilt, 
sprach sich Hartge kurzfristig für die 
Nutzung der Hasso-Plattner-Schulc- 
loud aus, die innerhalb von fünf Tagen 
einsetzbar sei: „Die HPI-Schulcloud ist 
mit uns abgestimmt und das Feedback 
von Potsdamer Lehrern ist, dass sie 
funktioniert.” Mit Microsoft verhande- 
le ihre Dienststelle wegen der Daten- 
schutzprobleme. Die Schulen würden 
sie nicht allein lösen können. 

Viel diskutiert wurden im Frühjahr 
und Sommer 2020 auch die oft offenin 
Lokalen ausliegenden Gästelisten zur 
Kontaktnachverfolgung. Nach zahlrei- 
chen Beschwerden waren die Ergeb- 
nisse von Kontrollen in über 50 bran- 
denburgischen Gaststätten ernüch- 
ternd: In 30 Fällen wurden mehr Daten 
erhoben als vorgeschrieben und in 36 
Fällen haben Cafes und Restaurants 
die Löschfrist nicht oder zu spät umge- 
setzt. In Einzelfällen nutzten Betriebe 
die Kontaktdaten sogar vorschriftswid- 
rig für eigene Werbezwecke. 
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Im Hinblick auf die Luca-App verwies 
die Landesdatenschützerin auf die 
Stellungnahme der Datenschutzkon- 
ferenz vom 29.04.2021: „Viele Themen 
sind vom Anbieter noch nicht so abge- 
arbeitet, wie es nötig wäre. Die Proble- 
me sollen binnen vier Monate abgestellt 
werden.” Die Corona-Warn-App habe 
den Vorteil, dass sie schneller über ein 
Infektionsrisiko informieren könne, da 
das bei Luca über die Gesundheitsäm- 
ter erfolge. Hartge plädierte für eine 
Ergänzung der Corona-Warn-App durch 
neue Funktionen. 

Anfragen und Beschwerden zur Vi- 
deoüberwachung stiegen 2020 erneut 
an auf 190. Die Landesbeauftragte be- 
richtete, dass die Staatskanzlei wäh- 
rend der einmonatigen EinheitsEXPO 
die Ausstellungsstücke in der Potsda- 
mer Innenstadt rund um die Uhr durch 
Videokameras überwachen ließ. Eine 
Beschilderung dazu fehlte ebenso wie 
eine Dokumentation. Maßgaben der 
Datenschutzaufsichtsbehörde igno- 
rierte die Staatskanzlei oder setzte sie 
nur halbherzig um, weshalb sie ver- 
warnt wurde. 

Ein weiteres Problemfeld der Video- 
überwachung seien die immer belieb- 
ter werdenden Drohnen. So ließ ein 
Makler zur besseren Vermarktung eines 
Grundstückes Drohnen über die Nach- 
barschaft fliegen und Luftaufnahmen 
fertigen. Auf den Bildern, die das Un- 
ternehmen online veröffentlichte, wa- 
ren auch die Nachbargrundstücke zu 
sehen, inklusive privater Gärten und 
Sonnenterrassen. Nachdem der Mak- 
ler die Aufnahmen freiwillig auf seiner 
Website löschte, blieb es bei einem 
förmlichen rechtlichen Hinweis (Hot- 
telet, Datenschutz in Brandenburg: 
Mehr Verfahren auch wegen Corona, 
www.heise.de 03.05.2021, Kurzlink: 
https://heise.de/-6035191) 


Hessen 


Videokontrolle schüle- 
rischer Sportübungen 


Die Frankfurter Rundschau berich- 
tete unter dem Titel „Hohe Hürden für 
Homesport” am 26.02.21 (Autor Peter 
Hanack, Seite D3) darüber, wie Lehr- 
kräfte anlässlich der Corona-Pandemie 


und dem dadurch eingeführten Home- 
Schooling per Videokonferenzschaltung 
den Sport der Schülerinnen und Schüler 
kontrollieren. Dies veranlasste den DA- 
NA-Leser Wolf Göhring, uns folgenden 
Leserbrief zukommen zu lassen: 

„Man stelle sich vor, eine Lehrerin 
klingelte an der Wohnungstür und be- 
gehrte aus Gründen des Unfallschut- 
zes, schnell in der Wohnung die Sport- 
übungen des Nachwuchses zu kontrol- 
lieren und mit ein paar Aufnahmen zu 
dokumentieren. Die Eltern würden der 
Eintrittsuchenden die Tür vor der Nase 
zuschlagen. Nicht weniger dreist ist 
die staatsschulamtliche Forderung an 
Lehrende, von den zumeist minderjäh- 
rigen Lernenden den Videozugang zur 
Wohnung der Eltern abzuverlangen, 
um häuslich zu verrichtende Sport- 
übungen per Video „kontinuierlich zu 
beobachten und ggf. zu korrigieren“, 
wie das staatliche hessische Schulamt 
und die Unfallkassen schreiben. Da hat 
wohl Big Brother auf einigen Amtsses- 
seln das Kommando übernommen. Wie 
selbstverständlich will er die garantier- 
te Unverletzlichkeit der Wohnung so 
mal eben aufheben. Schon genug des 
Einbruchs in die Privatsphäre, dass die 
Lehrenden ohne auch nur im Ansatz 
nach einer Zustimmung der Eltern zu 
fragen, einzelne Unterrichtsstunden 
per Videokonferenz abkaspern.” 


Niedersachsen 


Beschwerden und Bußgel- 
der ziehen an 


Gemäß Angaben der Datenschutzbe- 
auftragten des Landes, Barbara Thiel, 
häufen sich in Niedersachsen die Be- 
schwerden über Verstöße gegen den 
Datenschutz. Im Jahr 2020 hat ihre 
Behörde insgesamt 2.479 Beschwerden 
erhalten. Das ist fast ein Drittel mehr 
als im Jahr zuvor (2019: 1.882). Auch 
die Zahl der gemeldeten Datenschutz- 
verstöße von Unternehmen, Vereinen 
und öffentlichen Stellen legte von 824 
auf989 zu. 

Die Summe der 28 verhängten Buß- 
gelder belief sich 2020 auf 10,56 Mio €. 
Auch dasist ein deutlicher Anstieg zum 
Vorjahr, als Bußgelder über insgesamt 
480.000 € verhängt worden waren. Al- 
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lerdings ist das fast komplett auf das 
Bußgeld gegen notebooksbilliger.de in 
Höhe von 10,4 Mio. € zurückzuführen 
(DANA 1/2021, 45). Das Unternehmen 
hatte Beschäftigte und Kunden über 
mindestens zwei Jahre per Video über- 
wacht, ohne dass dafür eine Rechts- 
grundlage vorlag. Das Bußgeld istnoch 
nicht rechtskräftig. 

Thiel erklärte, ihre Behörde habe ein 
neues Kapitelin Sachen Bußgelder auf- 
geschlagen und sich dabei strikt an die 
Datenschutz-Grundverordnung gehal- 
ten, wonach die Bußgelder „wirksam, 
verhältnismäßig und abschreckend” 
sein sollen: „Die Verarbeiter von Da- 
ten müssen verstehen, dass sie durch 
Fehlverhalten unter Umständen tief in 
das Recht auf informationelle Selbst- 
bestimmung und damit in ein Grund- 
recht eingreifen. Entsprechend hoch 
wird, wo nötig, im Einzelfall ein von 
mir verhängtes Bußgeld ausfallen“. 
Das Bußgeld gegen notebooksbilliger. 
de war das erste von ihr in Millionenhö- 
he gewesen. Endgültig vollstreckt sind 
von den insgesamt 10,56 Mio € jedoch 
erstrund 81.000 €. In den übrigen Fäl- 
len ist der Bescheid noch nicht rechts- 
kräftig, beispielsweise, weil die Verant- 
wortlichen Rechtsmittel dagegen ein- 
gelegt haben (Niedersachsen: Deutlich 
mehr Datenschutzverstöße gemeldet, 
www.heise.de 13.03.2021, Kurzlink: 
https://heise.de/-5987321). 


Thüringen 


Datenschutzbeauftragter 
gegen Bildungsminister 


Der Thüringer Datenschutzbeauftra- 
ge Lutz Hasse hat ein Verfahren gegen 
Bildungsminister Helmut Holter eröff- 
net wegen eines Auftritts des Ministers 
via Instagram, wo er Fragen von Schü- 
lern beantwortet hatte. Hasse war kurz 
zuvor vom Lehrerverband hart für seine 
„übertriebene“ Datenschutzlinie kriti- 
siert worden. 

Hasse startete am 28.01.2021 we- 
gen einer virtuellen Instagram-Ver- 
anstaltung ein Anhörungsverfahren 
gegenüber dem Bildungsministerium 
und der Landesschülervertretung. 
Eine solche Anhörung kann ein erster 
Schritt zur Ahndung eines möglichen 
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Datenschutzverstoßes sein, bedeutet 
aber noch nicht, dass es tatsächlich zu 
Konsequenzen kommt. Bei der Video- 
Schalte am 26.02.2021 ging es um 
Schulpolitik in Zeiten der Corona-Pan- 
demie. Hasse erläutert: „Uns ist noch 
nicht klar, wer datenschutzrechtlich 
der Veranstalter ist.” Mit der Anhörung 
wolle seine Behörde klären, wer wen 
eingeladen habe und auf wessen Initia- 
tive hin das gelaufen sei. Er wies darauf 
hin, dass seine Behörde das Bildungs- 
ministerium bereits im Vorfeld auf da- 
tenschutzrechtliche Bedenken bei der 
Veranstaltung hingewiesen habe. Ins- 
tagram gehöre zu Facebook, wobei Da- 
ten zwischen den sozialen Netzwerken 
ausgetauscht und auch Profile erstellt 
würden. Im schulischen Kontext gehe 
das datenschutzrechtlich „gar nicht“. 

Seine Behörde wolle nun aber erst 
einmal Informationen sammeln. Es 
gehe dabei auch um Fragen, in wel- 
cher Funktion der Schülervertreter bei 
der Veranstaltung war und ob Holter 
als Minister oder als Privatperson teil- 
genommen hat: „Ich denke, dass die 
Verantwortlichkeit eines Schülers eine 
andere ist als die eines Ministers.” Hol- 
ter meinte „Selbstverständlich werde 
ich dem Datenschutzbeauftragten Aus- 
kunft geben” und betonte zugleich, 
dass es sich um ein Missverständnis 
handeln müsse: „Die Veranstaltung 
war weder eine schulische Veranstal- 
tung, noch ist sie in irgendeiner Form 
im politischen Raum unüblich oder an- 
stößig. Es handelte sich um politische 
Kommunikation.” 

Er verteidigte die Video-Schalte. Es 
sei wichtig, dass sich Schülervertre- 
tungen eigenständig engagieren und 
artikulieren könnten: „Es kann nicht 
sein, dass das demokratische Engage- 
ment von Schülerinnen und Schülern 
durch ein solches Vorgehen infrage 
gestellt oder latent mit Verfolgung be- 
droht wird.” 

Leon Schwalbe, Sprecher der Landes- 
schülervertretung, erklärte, es gebe 
derzeit viele Fragen bei den Schülern: 
„Das weitere Home-Schooling, die 
Schulöffnungen für Abschlussklassen 
und nicht zuletzt die anstehenden 
Abschlussprüfungen sind Themen, 
bei denen eine einfache und direkte 
Kommunikation nötig ist, um Klarheit 
zu schaffen.“ Mit dem Instagram- 


Livestream mit Holter habe man diese 
Möglichkeit geben wollen. „Die sozi- 
alen Medien sind für die Landesschü- 
lervertretung aufgrund der jungen 
Zielgruppe seit vielen Jahren ein wich- 
tiges Kommunikationsmittel. Eine Ein- 
schränkung dieser Aktivität würde un- 
sere ganze Arbeit behindern.” 

Kritik am Vorgehen des Landesda- 
tenschutzbeauftragten kam von der 
Landeselternvertretung. Sie warf Has- 
se „unsensibles Agieren” vor. Die El- 
tern hätten sich gewünscht, dass der 
Datenschutzbeauftragte dasselbe En- 
gagement gezeigt hätte, als es um klare 
Regeln und eine Liste sicher nutzba- 
rer Kommunikationswege für Schüler, 
Eltern und Schule ging. Die CDU im 
Landtag forderte ein Machtwort von 
Holter. Der bildungspolitische Spre- 
cher der Fraktion, Christian Tischner, 
sagte, Holter müsse sich „endlich klar 
und unmissverständlich vor Lehrer und 
Schüler stellen”. Windelweiche Lippen- 
bekenntnisse genügten nicht. 

Der Datenschutzbeauftragte Hasse 
war für seine digitale Strategie in die 
Schusslinie geraten. Insbesondere Pä- 
dagogen warfen ihm vor, seine Daten- 
schutzanforderungen zu übertreiben. 
Der Lehrerverband hatte Mitte Januar 
2021 kritisiert, dass Schulen einzig die 
Schulcloud nutzen dürfen, Bildungs- 
minister Helmut Holter sich aber zum 
Live-Gespräch auf der zum amerikani- 
schen Facebook-Konzern gehörenden 
Plattform Instagram ankündigt. Das 
lasse jeden Vorbildcharakter vermis- 
sen, soRolfBusch vom Verband damals. 
Hasse hatte Mitte 2020 Bußgelder für 
den Fall angedroht, dass Lehrer auf 
Kommunikationsplattformen zurück- 
greifen, die von der datenschutzrecht- 
lich gesicherten Schulcloud abweichen 
(DANA 3/2020, 193). Die Cloud berei- 
tet Thüringer Lehrkräften und Schü- 
lern regelmäßig Probleme. In anderen 
Bundesländern wird aus ähnlichen 
Gründen auf andere, unter anderem 
private Plattformen zurückgegriffen, 
wogegen sich Lutz Hasse für Thüringen 
aber ausgesprochen hat (Datenschutz: 
Verfahren gegen Bildungsminister Hol- 
ter eröffnet, www.mdr.de 29.01.2020). 
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Datenschutznachrichten aus dem Ausland 


Weltweit 


WHO plant globales 
Impfzertifikat 


Die Weltgesundheitsorganisation (WHO) 
und Estland arbeiten an einem Impfzer- 
tifikat, das von „Eritrea bis Singapur” 
gültig sein soll. Gemäß der estnischen 
Entwicklerfirma soll das Zertifikat auf 
dem Smartphone gespeichert und auf 
Reisen von Grenzbeamten ausgelesen 
werden können. Dafür müssen Gesund- 
heitsdatenbanken, Impfstoffhersteller 
und Impfstellen miteinander vernetzt 
werden. Datenschützer kritisieren, dass 
sich dadurch Geimpfte sowie deren Kon- 
takte und Gesundheitsstatus überwa- 
chen ließen. Estland will das verhindern, 
indem es die Daten dezentral mit Hilfe 
von Blockchain-Technologie speichert 
und damit das System vor Hackerangrif- 
fen und Manipulation schützt. 

Estand gilt seit Langem als Vorreiter 
der Digitalisierung. Für den Impfpass 
werden Erfahrungen mit dem estni- 
schen System „X-Road” genutzt. Es 
besteht aus dezentralen Datenbanken, 
Programmen und Rechtsvorschriften 
und wird z.B. bei virtuellen Behörden- 
gängen oder Wahlen genutzt. Nur weni- 
ge Länder experimentieren bislang mit 
elektronischen Impfpässen. Ob Geimpf- 
te Privilegien bekommen sollen, ist um- 
stritten. In Deutschland wird dies bisher 
abgelehnt; andere Länder diskutieren 
die Frage ausführlicher. Griechenland 
und Israel schlossen ein Abkommen, 
das immunisierten Staatsbürgern Rei- 
sen zwischen den beiden Ländern ohne 
Quarantänepflicht erlauben soll. Auch 
dafür ist ein digitaler Impfpass geplant 
(Globaler Impfpass, Der Spiegel Nr. 7 
13.02.2021, 71). 


Weltweit 


Spanier und Österreicher am 
datenschutzsensibelsten 


Rund 41% der Deutschen versuchen 
ihre Daten im Internet aktiv zu schüt- 
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zen. Das geht aus einer Befragung im 
Rahmen des Statista Consumer Survey 
2020 hervor. Demnach sind die Deut- 
schen vergleichsweise vorsichtig was 
den Umgang mit sensiblen Daten an- 
geht. Den Spitzenwert im europäischen 
Vergleich erzielen die spanischen Be- 
fragten - hier bemühen sich rund 45 
Prozent persönliche Informationen zu 
schützen. Weniger Wert auf aktiven 
Datenschutz legen die Befragten aus 
Frankreich (31,3 Prozent) und Südkorea 
(20,9 Prozent). Alle Zahlen in Prozent: 


Spanien 45,0 
Österreich 42,2 
Deutschland 41,4 
China 40,9 
Schweiz 40.4 
USA 35,3 
Großbritannien 32,7 
Russland 32,4 
Frankreich 33,3 
Südkorea 20.9 


(Bocksch, Vier von zehn Deutschen 
schützen ihre Daten, 08.02.2021) 


Weltweit 


„Harmlose” geklaute Bilder 
auf Pädosexuellen-Foren 


Harmlose Alltagsfotos von Kindern, die 
von Eltern und Kindern in den Sozialen 
Medien veröffentlicht werden, stehen 
verstärkt im Fokus von Pädosexuellen. 
Gemäß einer umfangreichen journalisti- 
schen Recherche beschaffen sich die Tä- 
ter massenhaft Aufnahmen aus privaten 
Social-Media-Profilen, um sie anschlie- 
ßend in Foren hochzuladen, in denen 
auch Fotos getauscht werden, die schwe- 
ren Kindesmissbrauch zeigen. Allein auf 
einer der größten illegalen Foto-Platt- 
formen für Pädosexuelle stammt mindes- 
tens jedes vierte Bild ursprünglich von 
Facebook oder Instagram. Häufig werden 
die Aufnahmen obszön kommentiert, 
manchmal nennen die Täter auch Namen 
und Alter des Kindes und verlinken sogar 
die ursprünglichen Social-Media-Profile. 

Ermittlungsbehörden und Kinder- 
schutz-Organisationen appellieren seit 


Jahren, keine Kinderfotos im Internet 
zu teilen. Das Interesse von Pädosexu- 
ellen an solchen harmlosen Bildern von 
Mädchen und Jungen etwa beim Sport 
oder am Strand ist groß. Ein Recherche- 
Team von Panorama und STRG_F klärte 
die Herkunft von vielen Aufnahmen auf 
einschlägigen Plattformen. Dafür hat es 
automatisiert mehrere Millionen Fotos 
untersucht. In Hunderttausenden Fäl- 
len konnte es nachweisen, dass die Fotos 
ursprünglich von Facebook- und Insta- 
gram-Accounts stammen. Beide Dienste 
speichern in Metadaten einen eindeu- 
tigen Hinweis in jeder Bilddatei, der er- 
halten bleibt, wenn das Bild an anderer 
Stelle unverändert hochgeladen wird. In 
vielen Foren fanden sich auch Anhalts- 
punkte auf YouTube, TikTok und Whats- 
App als Quelle der gestohlenen Bilder. 

„Ppädophilie“ bezeichnet die sexuelle 
Präferenz, aus der sich Handlungsimpul- 
se ergeben können, aber nicht müssen. 
Kommt es zu sexuellen Handlungen, also 
zu real ausgelebter Sexualität mit Kin- 
dern, spricht man von „Pädosexualität”, 
womit Kindesmissbrauch einhergeht. Tä- 
ter, die auf Plattformen Kinderbilder kon- 
sumieren und sexualisiert kommentie- 
ren, sind in diese Kategorie einzuordnen. 

So treffen sich auf der Plattform „Cu- 
tie Garden” (deutsch etwa „Garten der 
Süßen“) Pädosexuelle und posten und 
kommentieren auf diesem sogenannten 
Imageboard anonym Fotos von Kindern. 
Das Rechercheteam analysierte 142.381 
Fotos und fand bei rund 23,5% den ein- 
deutigen Hinweis, dass das Foto von 
Facebook oder Instagram stammt. Die 
Dunkelziffer dürfte höher liegen, weil 
manche User die Hinweise in den Meta- 
daten gezielt verwischen. 

Recherchen im Bereich von Kinder- 
pornografie sind heikel, da nicht nur 
der Besitz solcher Aufnahmen strafbar 
ist, sondern schon das bloße Ansehen 
dieser Fotos und Videos. Wer sich in 
dieser Umgebung aufhält, kann sich 
schnell strafbar machen. Wegen des In- 
teresses der Öffentlichkeit, über solche 
Gefahren für das Kindeswohl unabhän- 
gig und anschaulich informiert zu wer- 
den, können journalistische Recher- 
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chen zulässig sein, vorausgesetzt sie 
dienen ausschließlich diesen journa- 
listischen Zwecken. Panorama mietete 
für mehrere Monate einen streng abge- 
schirmten Raum in der Bundespresse- 
konferenz in Berlin an, zu dem nur aus- 
gewählte Personen Zutritt hatten. Alle 
Computer und Server waren mehrfach 
verschlüsselt, um auszuschließen, dass 
unbefugte Personen in Besitz des Mate- 
rials kommen. Ziel war es, die scheinbar 
harmlosen Alltagsfotos von Kindern he- 
runterzuladen, um anschließend ihre 
Herkunft zu erklären. Illegales Materi- 
al, insbesondere Missbrauchsfotos und 
-videos, wurden nicht heruntergeladen. 

Dabei entdeckte das Recherche-Team 
zahlreiche Alltagsbilder von Kindern in 
einschlägigen Kinderpornografie-Foren 
im so genannten Darknet. Dort werden 
sie in besondere Kategorien wie „Non 
Nude“ („nicht nackt”) hochgeladen. Die 
Reporterinnen und Reporter konnten 
gleich mehrere Fälle deutscher Kinder 
identifizieren, deren Aufnahmen ur- 
sprünglich von Instagram oder YouTube 
stammten. Darunter ein Video, das zwei 
Jungen beim harmlosen Versteckspiel 
zeigt. In den Kommentaren fantasierten 
User über Analverkehr mit den Kindern, 
einer schrieb: „Und dann mache ich sie 
zu meinen Sex-Sklaven.” Die jeweils be- 
troffenen Eltern, konfrontiert mit den 
Rechercheergebnissen, zeigten sich er- 
schüttert und löschten teilweise ihre 
Social-Media-Profile. 

Eltern und Jugendliche helfen Pädose- 
xuellen mit ihren geposteten harmlosen 
Aufnahmen oft unfreiwillig dabei, an 
neue Missbrauchsfotos zu kommen: Wer 
als User neue Bilder in den Kinderpor- 
nografie-Foren postet, zum Beispiel, 
nachdem er sie in sozialen Netzwerken 
geklaut hat, erhält mehr Anerkennung 
und mehr Bilder von anderen Usern. User 
zahlen in den Foren nicht mit Geld, son- 
dern mit Fotos und Videos, die sie ande- 
ren wiederum zur Verfügung stellen. 

Ein besonderer Fall ist die russische 
Foto-Plattform „imgsre.ru”, die über 
das gewöhnliche Internet erreichbar ist 
und von Pädosexuellen für ihre Zwecke 
genutzt wird. Dort identifizierte das Re- 
porterteam in der Kategorie „Kids“ über 
drei Millionen Aufnahmen, die meisten 
davon offensichtlich geklaut. Den Er- 
gebnissen der Analyse nach wurden sie 
schon über 14 Milliarden mal geklickt, 


DANA ® Datenschutz Nachrichten 2/2021 


häufiger als die Bilder aller anderen Kate- 
gorien - etwa Natur-, Auto- und Städte- 
fotos - zusammen. Auffallend viele User 
kommentieren die Fotos auf Deutsch. Ein 
Nutzer schrieb z.B. unter ein Bild, das 
von der Seite eines sächsischen Sportver- 
eins gezogen wurde und ein junges Mäd- 
chen bei einer Turnübung zeigt: „Diesen 
Blick hat sie auch, wenn ich ihn ihr bis 
zum Anschlag reinschieben würde.” 

Andreas Link von jugendschutz.net, 
dem gemeinsamen Kompetenzzentrum 
von Bund und Ländern für Jugend- 
schutz im Internet, weist darauf hin, 
dass Eltern und Jugendliche, die Fotos 
im Internet posten, es Tätern oft sehr 
einfach machen, diese für ihre Zwecke 
zu nutzen: „Pädosexuelle sind Jäger 
und Sammler, die gezielt solche Alltags- 
bilder suchen. Und wenn Eltern und Ju- 
gendliche diese Fotos im Internet pos- 
ten, dann machen sie es den Tätern oft 
sehr einfach, diese für ihre Zwecke zu 
nutzen. Einmal im Netz sind sie dort für 
immer verfügbar.” Das Rechercheteam 
entdeckte auch Fälle, in denen Bilder 
von nicht-öffentlichen Social-Media- 
Profilen kopiert wurden. Dies könnte 
dadurch zu erklären sein, dass die Op- 
fer unter ihren Freunden und Followern 
Personen haben, die die Fotos ohne ihr 
Wissen kopierten und veröffentlichten. 

Facebook und Instagram verwiesen 
auf Nachfrage auf die angebotenen 
Privatsphäre-Einstellungen: „Wir unter- 
stützen Eltern dabei zu entscheiden, mit 
wem sie ihre Alltagsbilder teilen möch- 
ten.” Das Herunterladen von Userdaten 
verstoße generell gegen die Richtlinien. 
Man verfüge darüber hinaus über Tech- 
nologie, die proaktiv Nacktheit und aus- 
beuterische Inhalte von Kindern beim 
Hochladen erkenne. YouTube teilte mit, 
dass man stark in Technologie investie- 
re, die Kindern und Familien den best- 
möglichen Schutz biete. 

Staatsanwältin Julia Bussweiler von 
der Zentralstelle zur Bekämpfung der 
Internetkriminalität (ZIT) erklärte zum 
Diebstahl von Alltagsfotos von Kindern 
aus sozialen Medien: „Es ist erschre- 
ckend, wie häufig solche Alltagsbilder 
missbraucht und gegen den Willen der 
Abgebildeten verwendet werden.” Die 
Behörden würden nur in den seltens- 
ten Fällen aktiv, wenn sie Alltagsbilder 
in Kinderpornografie-Foren entdecken, 
da die Aufnahmen an sich nicht straf- 


bar sind, strafrechtlich relevant seien 
dagegen die Kommentare, die etwa eine 
sexuelle Handlung beschreiben. Wohl 
könnte jeder Abgebildete das Recht am 
eigenen Bild geltend machen: „Dafür 
bräuchte es eine Anzeige der Eltern, 
aber die wissen zumeist gar nicht, dass 
ihre Fotos geklaut und in entsprechende 
Plattformen hochgeladen wurden. Das 
ist ein Problem.” Der sicherste Schutz 
für Kinder und Jugendliche sei es des- 
halb, gar keine Bilder offen ins Netz zu 
stellen (Bongen/Güldenring/Lenz/ 
Moßbrucker, Geklaut: Private Kinderfo- 
tos auf Kinderpornografie-Seiten, www. 
ndr.de 22.04.2021). 


Weltweit 


Große Sicherheitsmängel 
bei Amazon 


Amazon ist einer der großen Akteu- 
re im Big-Data-Bereich. Drei frühere 
führende Mitarbeiter aus dem Bereich 
IT-Sicherheit berichten, dass dem US- 
Konzern als Gegengewicht jeglicher 
Ansatz für eine effektive Datenschutz- 
kultur fehlt. Es existierten nicht einmal 
die grundlegenden Voraussetzungen, 
um die Privatsphäre der Nutzer ange- 
messen zu schützen. Dies dürfte früher 
oder später zu massiven Folgen wie ei- 
nem unkontrollierbaren Datenabfluss 
führen und könnte Hackern Angriffe 
erleichtern. 

Die Warnungen stammen von zwei Ex- 
Beschäftigten in den USA sowie einem 
aus Europa. Alle drei sollen demnach 
wiederholt versucht haben intern die 
Führungsebene in der Zentrale in Seat- 
tle zu alarmieren. Sie seien aber beisei- 
te geschoben, entlassen oder aus dem 
Unternehmen gedrängt worden. Das 
Hauptproblem besteht ihnen zufolge 
darin, dass der Online-Händler Zehn- 
tausende Teams auf Big-Data-Analysen 
ansetze. Den Mitarbeitern und der Kon- 
zernspitze sei aber überhaupt nicht klar, 
welche Daten vorlägen, wo sie gespei- 
chert sind und wer Zugriff darauf hat. 

Den in der Datenschutz-Grundverord- 
nung (DSGVO) oder auch im kaliforni- 
schen Pendant verankerten Nutzerrech- 
ten etwa auf Auskunft und Korrektur 
könne das Unternehmen den Whist- 
leblowern zufolge so gar nicht nach- 
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kommen. Wenn etwa ein Kunde seinen 
Löschanspruch nach dem „Recht auf 
Vergessenwerden” ausüben wolle, wäre 
es für Amazon nahezu unmöglich, alle 
Stellen ausfindig zu machen, an denen 
sich die persönlichen Daten in verschie- 
denen Systemen befänden. 

Einer der Insider: „Wir haben Hun- 
derttausende von Konten gefunden, bei 
denen der Mitarbeiter nicht mehr da ist, 
aber immer noch Zugriff auf das System 
hat.“ Laut internen Sicherheitsberichten 
aus 2016 und 2017 habe das Unterneh- 
men angegeben, nur zwischen 55% und 
70% seiner Systeme mit Sicherheitsup- 
dates versorgen zu können. In einem 
internen Memo von 2018 sei die Wahr- 
scheinlichkeit eines kritischen finanzi- 
ellen Verlusts oder eines Imageschadens 
für das Unternehmen als „sehr hoch” ein- 
geschätzt worden, daesnicht möglich sei 
Angriffe von Gegnern zu identifizieren. 

Die Rede ist auch vom Einsatz eines 
unsicheren Verschlüsselungsprotokolls 
für Online-Zahlungen seit 2014. Das 
Problem sei erst nach weiteren Hinwei- 
sen 2016 und 2018 behoben worden. 
Zuvor habe Amazon erfolgreich Lob- 
byarbeit beim zuständigen Standardi- 
sierungsgremium betrieben und zwei 
Jahre Aufschub gewährt bekommen. 
Der Konzern, der bisher vor allem we- 
gen mangelndem Arbeitnehmerschutz 
in der Kritik steht, soll zudem erst we- 
nige Wochen vor der Anwendbarkeit der 
DSGVO im Frühjahr 2018 ein spezielles 
Team für die Umsetzung der Vorgaben 
eingerichtet haben. Deutlich mehr Wert 
lege Amazon auf die IT-Sicherheit bei 
seinem Cloud-Flaggschiff AWS. Dortige 
Datenlecks seien in der Regel auf nach- 
lässige Nutzer zurückzuführen. 

In der EU ist hauptsächlich die lu- 
xemburgische Datenschutzaufsichtsbe- 
hörde für den Konzern zuständig. Die 
bestätigte nur allgemein, dass Verfah- 
ren gegen Amazon anhängig sind. Erste 
Bußgelder hätten eigentlich 2020 fällig 
werden sollen, es sei aber zu Verzöge- 
rungen gekommen. Ein Unternehmens- 
sprecher wies die Vorwürfe zurück. Bei 
Amazon gehöre es seit Jahren zu den 
obersten Prioritäten die Privatsphäre 
der Kunden zu schützen und die Sicher- 
heit ihrer Daten zu gewährleisten. Dafür 
gebe es lang etablierte Richtlinien und 
Verfahren. Die Behauptungen seien 
„ungenau, unbegründet und veraltet” 
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(Krempl, Amazon: Whistleblower sehen 
Millionen von Kundendaten in Gefahr 
www.heise.de 25.02.2021, Kurzlink: 
https://heise.de/-5065861). 


Europa 


EU-Kommission plant KI- 
Regulierung 


Die EU-Kommission stellte am 
21.04.2021 eine Strategie vor, wie die 
Entwicklung von sog. Künstlicher In- 
telligenz (KI) als wissenschaftlicher 
und wirtschaftlicher Hoffnungsträger 
gefördert werden kann und zugleich 
die damit einher gehenden Risiken 
begrenzt werden können. Selbstler- 
nende Computerprogramme, die ihre 
Leistung durch die Analyse großer 
Datenmengen stetig verbessern, sind 
ein wirkmächtiges Werkzeug und eine 
Zukunftstechnologie, bei der Europa 
von den USA und China abgehängt zu 
werden droht. 

Die für Digitales zuständige Kommis- 
sarin und Vizepräsidentin Margrethe 
Vestager präsentierte einen 81-seiti- 
gen Verordnungsvorschlag, der gewis- 
se Anwendungen künstlicher Intelli- 
genz verbietet und andere strengen 
Regeln unterwirft: „Bei künstlicher 
Intelligenz ist Vertrauen ein Muss und 
kein Beiwerk.” Eine Verordnung gilt 
unmittelbar in allen Mitgliedstaaten. 
Vorgesehen ist eine kurze Liste von 
Anwendungen, die grundsätzlich ver- 
boten sind, es sei denn, Regierungen 
nutzen sie unter gewissen Umständen 
zum Schutz der Bevölkerung. Auf der 
Liste steht die wahllose Überwachung 
von Bürgern oder der Versuch, die Mei- 
nung oder das Verhalten von Menschen 
mit Hilfe ausgeklügelter Algorithmen 
zu manipulieren. 

So will die Kommission nach entspre- 
chender Kritik von Abgeordneten im Eu- 
ropaparlament die Verwendung von KI 
bei automatischer Gesichtserkennung 
auf öffentlichen Plätzen einschränken. 
Demnach wird der Polizei verboten KI- 
Systeme in Echtzeit die Bilder von Über- 
wachungskameras durchsuchen zu las- 
sen. Zeitlich und geografisch begrenzte 
Ausnahmen sollen möglich sein, wenn 
ein Richter sie genehmigt und diese 
z.B. dazu dienen einen Terroranschlag 


zu verhindern oder bei der Suche nach 
einem vermissten Kind oder einem ge- 
fährlichen Verbrecher zu helfen. 

Daneben gibt es eine deutlich län- 
gere Aufstellung sogenannter „Hoch- 
Risiko”-Systeme. Diese Anwendungen 
sollen unter strengen Auflagen erlaubt 
werden. So müssen die Daten für das 
Trainieren der Software von hoher Qua- 
lität sein, die Arbeitsweise der KI muss 
transparent sein, und die Programme 
müssen von Menschen überwacht wer- 
den. Firmen und Staaten dürfen KI- 
Software nicht einsetzen, um Menschen 
„mit sublimen Techniken, ohne dass 
sich die Person dessen bewusst ist”, zu 
manipulieren oder um Social Scoring 
zu betreiben. Hier geht es z.B. um KI- 
Programme, welche die Kreditwürdig- 
keit von Menschen benoten, Stellenbe- 
schreibungen vorsortieren oder beim 
Betrieb des Strom- oder Gasnetzes ein- 
gesetzt werden. Bei solchen riskanten 
Anwendungen verlangt das Gesetz, dass 
die Daten, die zum Trainieren der Syste- 
me verwendet werden, hochwertig sind 
und nicht bestimmte Gruppen diskrimi- 
nieren. Menschen müssen die Software 
einfach überwachen und zur Not aus- 
schalten können; die Arbeitsweise der 
Programme muss transparent sein. Bei 
schweren Verstößen soll eine Strafe von 
bis zu 6% des weltweiten Umsatzes mög- 
lich sein. Vestager meinte: „Mit diesen 
wegweisenden Vorschriften steht die EU 
an vorderster Front bei der Entwicklung 
neuer weltweiter Normen.” Mit dem Ge- 
setz „können wir weltweit den Weg für 
ethische Technik ebnen“. 

Alexandra Geese, die das Thema für 
die Grünen betreut, klagte, der Entwurf 
sei „an entscheidenden Stellen nicht 
scharf genug“. Auf der anderen Seite 
moniert der CSU-Europaabgeordnete 
Markus Ferber, der wirtschaftspolitische 
Sprecher der christdemokratischen 
EVP-Fraktion, dass sich der Vorschlag 
„wie ein Verbotskatalog” lese: „Im Be- 
reich der Künstlichen Intelligenz gibt es 
viele Anwendungsfälle, die sich heute 
noch gar nicht absehen lassen. Wenn 
die Kommission zu restriktiv reguliert, 
droht sie einer Zukunftstechnologie den 
Hahn abzudrehen, bevor wir ihr Poten- 
zial jemals richtig ausschöpfen konn- 
ten“ (Finke, Hoffnung und Furcht, SZ 
15.04.2021, 19; Finke, Mächtige Tech- 
nik, strenge Regeln, SZ 22.04.2021, 15). 
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Europa 


Parlamentarier: Daten- 
schutzaufsicht besser aus- 
statten 


Der Ausschuss für bürgerliche Frei- 
heiten, Justiz und Inneres des EU-Par- 
laments fordert eine wirksamere Durch- 
setzung der Datenschutz-Grundverord- 
nung (DSGVO) und kritisiert, dass viele 
Aufsichtsbehörden in der EU nicht über 
ausreichende personelle, technische 
und finanzielle Ressourcen verfügen, 
um ihre Aufgaben zu erfüllen und ihre 
Befugnisse effektiv auszuüben. Die Kon- 
trollinstanzen sollten in der Lage sein 
eine wachsende Zahl ressourceninten- 
siver und komplexer Fälle schnell und 
gründlich zu bearbeiten. 

In einem am 16.03.2021 mit 41 zu 
2 Stimmen bei 24 Enthaltungen ange- 
nommenen Entschließungsentwurf ap- 
pelliert das Gremium vor allem an die 
irischen und luxemburgischen Daten- 
schutzbehörden ihre laufenden Ermitt- 
lungen in wichtigen Fällen zu beschleu- 
nigen. Vor allem die irische Data Protec- 
tion Commission (DPC) gilt als chronisch 
unterbesetzt sowie voreingenommen 
und kommt in den von ihr eingeleiteten 
großen internationalen Verfahren nur 
langsam voran. Sie ist für Internetkon- 
zerne wie Facebook, Google und Twitter 
zuständig, da diese ihren europäischen 
Hauptsitz in Irland haben. 

Bei den Luxemburger Prüfern sind 
unter anderem Verfahren gegen Ama- 
zon anhängig. Erste Bußgelder hätten 
eigentlich 2020 verhängt werden sollen, 
es kam aber auch hier zu Verzögerun- 
gen. In Deutschland klagt vor allem der 
Datenschutzbeauftragte von Mecklen- 
burg-Vorpommern, Heinz Müller, über 
eine unangemessene Personalausstat- 
tung. Er war daher Ende 2019 aus der 
SPD ausgetreten. Der Kontrolleur hatte 
nach eigenen Angaben zu den 21 vor- 
handenen Stellen 13 weitere beantragt, 
um die mit der DSGVO verknüpften neu- 
en Aufgaben zu bewältigen, aber keine 
bewilligt bekommen. 

Der Innenausschuss macht sich fer- 
ner dafür stark die Zusammenarbeit 
zwischen den nationalen Aufsichtsbe- 
hörden im Europäischen Datenschut- 
zausschuss (EDSA) stärker zu koordi- 
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nieren und zu erleichtern. Es falle auf 
die einzelnen Bürger zurück, wenn die 
Kooperation im EDSA nicht angemessen 
funktioniere. Darüber hinaus habe die 
Covid-19-Pandemie deutlich gemacht, 
dass die nationalen Datenschutzbehör- 
den und der EDSA klare Anweisungen 
geben müssten, wie die DSGVO in der öf- 
fentlichen Gesundheitspolitik angemes- 
sen umzusetzen sei. Da die Anwendung 
des Normenwerks für kleine und mittlere 
Unternehmen (KMU) und einige andere 
Organisationen wie Schulen und Vereine 
eine besondere Herausforderung dar- 
stelle, fordern die Parlamentarier „mehr 
Unterstützung, Informationen und 
Schulungen“. 

Insgesamt halten die Innenpolitiker 
die DSGVO aber für einen Erfolg. Der 
Ausschuss hält es aktuell nicht für not- 
wendig, die Verordnung zu aktualisieren 
oder generell zu überprüfen. Unter an- 
derem der CDU-Abgeordnete Axel Voss 
hatte zuvor auf eine zeitnahe Reform ge- 
drängt (Krempl, DSGVO: EU-Abgeordne- 
te mahnen bessere Datenschutz-Durch- 
setzung an, www.heise.de 16.03.2021, 
Kurzlink: https://heise.de/-5989653). 


Europa 


EU-Parlament bewertet 
DSGVO-Umsetzung kritisch 


Das EU-Parlament hat die Umsetzung 
der Datenschutz-Grundverordnung (DS- 
GVO) in den EU-Mitgliedstaaten in ei- 
ner am 25.03.2021 beschlossenen Ent- 
schließung beanstandet. Man sei be- 
sorgt über die uneinheitliche und teils 
nicht vorhandene Durchsetzung knapp 
drei Jahre nach Anwendbarkeit. So sei 
nur ein sehr kleiner Teil eingereichter 
Beschwerden weiterverfolgt worden. 
Außerdem seien verhängte Geldstrafen 
gegen große Unternehmen teils zu ge- 
ring, um Wirkung zu zeigen. 

Das Parlament kritisierte, dass esnoch 
keine Vertragsverletzungsverfahren ge- 
gen Mitgliedstaaten gebe, die ihren Ver- 
pflichtungen aus der DSGVO nicht ausrei- 
chend nachkämen. EU-Justizkommissar 
Didier Reynders versicherte in der Plen- 
ardebatte, die Kommission scheue davor 
nicht zurück. Er betonte zudem, dass 
kleine und mittlere Unternehmen bei der 
Umsetzung der Regelungen besser unter- 
stützt werden sollten. 


Die Abgeordneten monierten, dass die 
Verordnung teils zur Einschränkung der 
Presse und nichtstaatlicher Organisatio- 
nen missbraucht werde. Für eine grenz- 
überschreitende Kooperation fehlten den 
zuständigen Aufsichtsbehörden in eini- 
gen Mitgliedstaaten zudem die notwen- 
digen Ressourcen. Insgesamt wertete das 
Parlament die DSGVO aber als Erfolg. 

Die Abgeordneten sprachen sich für 
eine Art Schengenraum für Daten in 
der EU aus, der auf europäischen Wer- 
ten wie Transparenz, Datenschutz und 
der Achtung der Grundrechte basiere. 
Daten sollten etwa durch Standardi- 
sierungen besser teilbar und nutzbar 
werden. Ein freier Datenfluss in der EU 
solle auch die Wettbewerbsfähigkeit 
etwa von europäischen Unternehmen 
stärken (Europaparlament kritisiert 
Umsetzung der DSGVO, www.horizont. 
at 26.03.2021). 


Europa 


Datenschützer kritisieren 
Entwurf eines Data Gover- 
nance Act 


Der Europäische Datenschutzaus- 
schuss (EDSA) und der EU-Datenschutz- 
beauftragte Wojciech Wiewiörowski 
fordern in einer gemeinsamen Stellung- 
nahme umfangreiche Korrekturen am 
Entwurf der EU-Kommission für einen 
Data Governance Act (DGA). Sie vermis- 
senin der Initiative grundlegende Rege- 
lungen zur Sicherung der Privatsphäre 
der Bürger. Der Gesetzgeber müsse un- 
missverständlich klarstellen, dass der 
Rechtsakt „weder das Schutzniveau der 
personenbezogenen Daten natürlicher 
Personen beeinträchtigen noch die in 
den Datenschutzvorschriften festgeleg- 
ten Rechte und Pflichten ändern wird“. 

Die EU-Kommission will die öffentli- 
che Verwaltung, Firmen und Individu- 
en mit ihrem Vorschlag ermuntern ihre 
Daten stärker zu teilen. Für Bereiche 
wie vernetzte Autos oder das Internet 
der Dinge plant die Kommission ent- 
sprechende Pflichten. Das Sammeln von 
Messwerten zum Allgemeinwohl soll 
über einen gemeinsamen Ansatz für Da- 
tenspenden in allen Mitgliedstaaten be- 
fördert werden. Treuhänder sind als ver- 
trauenswürdige Vermittler vorgesehen. 
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Wiewiörowski und EDSA meinen, der 
Begriff Datenaltruismus und die davon 
begünstigten Zwecke müssten besser 
definiert werden. Das bislang schwam- 
mige Konzept sollte so angelegt werden, 
„dass Einzelpersonen ihre Zustimmung 
leicht erteilen, aber auch zurückziehen 
können“. Angesichts der absehbaren 
Risiken für Personen, deren Informati- 
onen von Austauschdiensten und von 
Organisationen für Datenaltruismus 
verarbeitet werden, gehen der EDSA und 
Wiewiörowski davon aus, dass einereine 
Registrierung dieser Einrichtungen im 
Einklang mit der Datenschutz-Grund- 
verordnung (DSGVO) nicht ausreicht. 
Hier müsse ein strengeres Prüfverfahren 
greifen. Dabei sollten Rechenschaftsin- 
strumente wie ein Verhaltenskodex oder 
ein Zertifizierungsverfahren systema- 
tisch einbezogen werden. 

Bei dem noch kaum erprobten Werk- 
zeug der Treuhänder betonen die Kon- 
trolleure, dass die Betroffenen vorab 
über deren Sinn und Zweck aufzuklären 
seien. Zudem müssten die Vermittler die 
Grundsätze des Datenschutzes durch 
Technik („Privacy by Design”) und da- 
tenschutzfreundliche Voreinstellungen, 
der Transparenz und der Zweckbindung 
berücksichtigen. Ferner sollten die Mo- 
dalitäten geklärt werden, nach denen 
solche Diensteanbieter Einzelpersonen 
bei der Ausübung ihrer Rechte wirksam 
unterstützen könnten. 

Bei der geplanten Weiterverwendung 
personenbezogener Daten, die öffentli- 
che Stellen etwa im Gesundheitssektor 
erhoben haben, müssten die Vorschrif- 
ten aus der DSGVO und der Open-Data- 
Richtlinie beachtet und aneinander 
angeglichen werden. Ein solcher Ansatz 
seiauch nur dann zulässig, wenn er eine 
Basis im EU-Recht oder in Gesetzen der 
Mitgliedsstaaten habe. Enthalten sein 
sollte eine Liste klarer, kompatibler 
Zwecke, für die persönliche Daten wei- 
terverarbeitet werden dürften im Sinne 
beispielsweise einer „notwendigen und 
verhältnismäßigen Maßnahme in einer 
demokratischen Gesellschaft”. 

Allgemein erkennen die Verfasser das 
legitime Ziel des DGA an „die Bedingun- 
gen für den Datenaustausch im Binnen- 
markt zu verbessern“. Gleichzeitig sei 
der Schutz personenbezogener Daten 
aber „ein wesentlicher und integraler 
Bestandteil für das Vertrauen in die 
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digitale Wirtschaft”. Wiewiörowski un- 
terstrich, dass mit Big Data eine „große 
Verantwortung” einhergehe. Die EDSA- 
Vorsitzende Andrea Jelinek hob hervor: 
„Die DSGVO ist das Fundament, auf dem 
das europäische Data-Governance-Mo- 
dell aufgebaut werden muss” (Krempl, 
EU-Datenschützer: Bauchschmerzen 
beim geplanten Datenaltruismus, www. 
heise.de 12.03.2021, Kurzlink: https:// 
heise.de/-5078665). 


Europa 


EU-Kommission meint: 
britischer Datenschutz ist 
adäquat 


Persönliche Daten sollen gemäß den 
Vorstellungen der Kommission der Eu- 
ropäischen Union (EU) nach dem bri- 
tischen Ausscheiden aus der EU wei- 
ter problemlos zwischen der EU und 
Großbritannien fließen können. Des- 
halb leitete die Brüsseler Behörde am 
19.02.2021 ein Verfahren ein, um den 
Britten einen gleichwertigen Daten- 
schutz zu bescheinigen. Bis Ende Juni 
2021 gilt noch eine Übergangsphase. 

EU-Kommissionsvize Vera Jourova 
meinte, Großbritannien habe zwar die 
EU verlassen, aber nicht die europäische 
Datenschutzfamilie: „Die Sicherstellung 
eines freien und sicheren Verkehrs per- 
sonenbezogener Daten ist von wesent- 
licher Bedeutung für die Unternehmen 
und die Bürgerinnen und Bürger auf 
beiden Seiten des Ärmelkanals.” Damit 
die Daten weiter ungehindert fließen 
können, müssen die EU-Staaten der 
Empfehlung der EU-Kommission noch 
zustimmen. Zuvor wird eine Stellung- 
nahme des Europäischen Datenschutz- 
ausschusses eingeholt. Nach vier Jah- 
ren soll das Datenschutzniveau in Groß- 
britannien erneut überprüft werden. 

Ähnliche Beschlüsse hat die EU auch 
mit Blick auf andere Länder wie Argen- 
tinien, Japan, die Schweiz oder Neu- 
seeland getroffen. Diesmal ist die Lage 
jedoch anders, weil in Großbritannien 
bis vor kurzem noch die EU-Daten- 
schutzregeln galten, das Land nun aber 
nicht mehr darunter fällt. Aus Sicht der 
EU-Kommission besteht die Gefahr, dass 
London in den kommenden Jahren vom 
gemeinsamen Standard abweicht. Des- 


halb gebe es strenge Überwachungs- 
und Überprüfungsverfahren sowie 
die Möglichkeit zur Aussetzung oder 
Aufhebung derartiger Beschlüsse. EU- 
Justizkommissar Didier Reynders ver- 
wies darauf, dass der Datenfluss auch 
für eine wirksame Zusammenarbeit im 
Kampf gegen Kriminalität wichtig sei 
(EU-Kommission bescheinigt Großbri- 
tannien gleichwertigen Datenschutz, 
www.finanzen.net 19.02.2021). 


Europa 


Verbraucherverbände 
gegen TikTok 


Der Europäische Verbraucherverband 
BEUC (Bureau Europ&en des Unions des 
Consommateurs), die Dachorganisati- 
on von 44 europäischen Verbraucher- 
schutzorganisationen, hat bei der EU- 
Kommission Beschwerde gegen TikTok 
eingereicht. Die bei Minderjährigen be- 
liebte Plattform zum Teilen von Videos 
verstoße gegen europäisches Recht, in- 
dem sie Kinder Schleichwerbung sowie 
unangemessenen Inhalten aussetze. 
Verbände aus 15 Ländern hatten ihren 
Dachverband aufgerufen, gegen das So- 
cial-Media-Unternehmen vorzugehen. 

Die erhobenen Vorwürfe sind Irre- 
führung, Täuschung, Verstöße gegen 
Urheber- und Datenschutzrecht sowie 
gegen eine Reihe von EU-weit gültigen 
Kinderschutzgesetzen. Mit dem Vorstoß 
möchten die Verbraucherschützer nach 
eigenen Angaben eine umfassende Er- 
mittlung durch die zuständigen Justiz- 
behörden in Gang setzen und geltendes 
EU-Recht gegenüber TikTok durchset- 
zen. Ein europaweites Verbot der Platt- 
form ist damit nicht angestrebt, es geht 
aber um die Kerninhalte der Plattform. 

Monique Goyens, Director General des 
Verbraucherdachverbands BEUC, stellte 
fest, dass TikTok bei Kindern ausgespro- 
chen beliebt sei, und kritisierte, dass 
das Unternehmen den Kinderschutz 
außen vor lasse: „Wir wollen nicht, 
dass unsere Jüngsten eindringlicher 
Schleichwerbung ausgesetzt sind und 
ohne ihr Wissen zu Werbeflächen wer- 
den, während sie doch nur Spaß haben 
wollen.” TikTok bringt nicht nur Spaß. 
So warim Januar 2021 ein zehnjähriges 
Mädchen vermutlich bei einer TikTok- 
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Mutprobe ums Leben gekommen: Of- 
fenbar hatte sie versucht, bei einer so- 
genannten „Blackout Challenge“ für ein 
Kurzvideo mitzumachen und sich dabei 
mit einem Gürtel erstickt. Seither haben 
Datenschutzbehörden sich mit zuneh- 
mender Vehemenz für Alterseinschrän- 
kungen bei TikTok ausgesprochen. 

Verstöße sehen Monique Goyens und 
die von ihr vertretenen Verbände vor al- 
lem in vier Punkten: TikTok habe unfaire 
Geschäftsbedingungen (Terms of Ser- 
vice), die Nutzer benachteiligten und 
ihnen das Recht an ihren veröffentlich- 
ten Inhalten ohne Gegenleistung „un- 
widerruflich“ entzögen, wie esin der im 
Internet veröffentlichten Stellungnah- 
me heißt. TikTok bietet laut BEUC auch 
gezielt Marketingangebote an, in denen 
Kinder und Jugendliche versteckter 
Werbung ausgesetzt sind - oft setzen 
bekannte Influencer „gebrandete Chal- 
lenges” in Gang und verschleiern dabei 
die kommerziellen Absichten. Auch sei- 
en Kinder bei TikTok nicht geschützt vor 
anzüglichen, nicht jugendfreien Videos. 

Den überwiegend minderjährigen 
Nutzern bietet TikTok virtuelle Münzen 
zum Kauf an, mit denen sie durch den 
Einsatz von echtem Geld virtuelle Ge- 
schenke für von ihnen verehrte Promi- 
nente erwerben können. In der „Virtual 
Item Policy” seien unfaire Bedingungen 
und irreführende Klauseln enthalten. 
So könne das Unternehmen jederzeit 
den Wechselkurs für Transaktionen zu 
eigenen Gunsten manipulieren. Die 
Plattform sammele persönliche Daten 
auf intransparente Weise; die Hinweise 
zur Verarbeitung seien irreführend. In 
diesem Punkt ermitteln offenbar bereits 
einige nationale Datenschutzbehörden 
gegen die Betreiber der Videoplattform 
(vgl. DANA 1/2020, 57 £.). 

Der an der Aktion beteiligte deutsche 
Verbraucherverband Verbraucherzen- 
trale Bundesverband (vzbv) hat nicht 
die deutschen Behörden eingeschaltet, 
sondern stattdessen TikTok juristisch 
verwarnt. An der formalen Beschwerde 
bei der EU-Kommission beteiligen sich 
folgende Verbände: Test Achats/Test 
Ankoop (Belgien), Kypriakos Syndes- 
mos Katanaloton/CCA (Zypern), dTEST 
(Tschechien), Forbrugerrädet Taenk 
(Dänemark), UFC Que Choisir (Frank- 
reich), vzbv (Deutschland), EKPIZO 
(Griechenland), Altroconsumo, Consu- 
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matori Italiani per l’Europa/CIE (Itali- 
en), Consumentenbond (Niederlande), 
Forbrukerradet (Norwegen), Spolo@nost 
ochrany spotrebitelov (S.0.S.) Poprad 
(Slowakei), Zveza Potrosnikov Slove- 
nije/ZPS (Slowenien), Sveriges Konsu- 
menter (Schweden), ASUFIN, Organiza- 
cion de Consumidores y Usuarios/OCU 
(Spanien) and Federation Romande des 
consommateurs/FRC (Schweiz) (BEUC 
files complaint against TikTok for mul- 
tiple EU consumer law breaches, www. 
beuc.eu 16.02.2021; Hahn, EU-Verbrau- 
cherschützer zeigen TikTok an wegen 
Schleichwerbung bei Kindern, www. 
heise.de 16.02.2021, Kurzlink: https:// 
heise.de/-5056784). 


Niederlande 


Bußgeld gegen Booking. 
com wegen verspäteter 
Breach Notification 


Die niederländische Datenschutzbe- 
hörde (Autoriteit Persoonsgegevens 
- AP) hat Booking.com eine Strafe in 
Höhe von 475.000 € auferlegt, weil das 
Portal zu spät einen Vorfall gemeldet 
hat. Kriminelle haben über die Seite Da- 
ten von 4.109 Kundinnen und Kunden 
abgegriffen. Zugang bekamen die Be- 
trüger über die Konten von Mitarbeitern 
von 40 Hotels in den Vereinigten Arabi- 
schen Emiraten. Diese erreichten sie via 
„social engineering“. Über die Zugänge 
der Hotelangestellten kamen die Be- 
trüger an Daten von Gästen, die in den 
Hotels über Booking.com Zimmer ge- 
bucht hatten. Neben Namen, Adressen, 
Telefonnummern und Buchungsdetails 
konnten in 283 Fällen auch Kreditkar- 
teninformationen eingesehen werden 
- bei 97 Karten sogar samt der Sicher- 
heitsnummer. Zudem versuchten die 
Kriminellen mehr Kreditkartendaten zu 
bekommen, indem sie sich als Mitarbei- 
ter der Hotels ausgaben und die Gäste 
per Mail oder Telefon kontaktierten. 

Booking.com behauptete gegenüber 
der Presse, es habe keine unerlaubten 
Zugriffe direkt über die eigene Seite 
oder eigene Systeme gegeben. Der Vor- 
fall sei zudem auf 40 Hotels beschränkt, 
bei denen Mitarbeiter ihre Zugangsda- 
ten Kriminellen offenlegten. Gemäß der 
Bußgeldschrift gab es allerdings auch 


eine unbekannte dritte Partei, die auf 
das Booking.com-Extranet zugreifen 
konnte, in dem die Kundendaten hinter- 
legt waren. Zwar ist der unerlaubte Zu- 
griff bereits 2019 geschehen, die Strafe 
folgte jedoch erst jetzt. 475.000 € muss 
das Portal zahlen, weil die Meldung des 
Vorfalls bei der Datenschutzbehörde 
erst 25 Tage, nachdem sie selbst davon 
wussten, erfolgte. 

Gemäß der DSGVO müssen Datenlecks 
innerhalb von 72 Stunden nach Be- 
kanntwerden gemeldet werden. Betrof- 
fene Kunden hatte man nach 22 Tagen 
informiert. Booking.com erklärt, man 
habe nicht so schnell reagiert, wie man 
hätte reagieren wollen. An einer Be- 
schleunigung der Prozesse wird gearbei- 
tet. Bei einem anderen Datenleck waren 
2019 ebenfalls Kundeninformationen 
von Booking.com abgeflossen. Betrof- 
fen war dabei vor allem die französische 
Gekko Group (Weiß, Datenverlust zu 
spät gemeldet: Booking.com muss Stra- 
fe zahlen, www.heise.de 02.03.2021, 
Kurzlink: https://heise.de/-6004800). 


Frankreich 


Sensitive Labordaten 
im Web 


Die illegale Verbreitung sensibler Pa- 
tientendaten im Netz sorgt in Frank- 
reich für Aufregung. Das auf Software im 
Gesundheitswesen spezialisierte Unter- 
nehmen Dedalus Frankreich stellte am 
26.02.2021 einen „schwerwiegenden 
Akt von Cyberkriminalität” fest. Dieser 
hat demgemäß zur Verletzung der Daten 
von einigen Laborkunden geführt. Das 
Unternehmen habe 28 betroffene Labo- 
re in sechs verschiedenen Departements 
identifiziert. Man wolle die Quellen des 
Cyberangriffs ermitteln. Zuvor schon 
hatte es Berichte gegeben, wonach 
medizinische Daten von fast 500.000 
französischen Bürgerinnen und Bür- 
gern im Netz verbreitet worden seien. 
Die Datenschutzbehörde, die Nationale 
Kommission für Informatik und Freihei- 
ten (CNIL), hatte daraufhin erklärt die 
Berichte zu prüfen, um offiziell zu be- 
stätigen, dass eine entsprechende Datei 
zur Verfügung gestellt worden sei. Auch 
die Staatsanwaltschaft hatte eine Un- 
tersuchung eingeleitet. Bei den Daten 
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soll es sich Medien zufolge zum Beispiel 
um Angaben zur Blutgruppe, möglicher 
Schwangerschaft oder medikamentöser 
Behandlung der Laborkunden handeln. 
Die Daten sollen zwischen 2015 und 
2020 gesammelt worden sein. 

Zuvor hatte es u.a. Cyberangriffe auf 
zwei Krankenhäuser gegeben. Staats- 
chef Emmanuel Macron hatte daraufhin 
angekündigt, eine Beobachtungsstelle 
für die Sicherheit von Gesundheitsein- 
richtungen schaffen zu wollen („Aktvon 
Cyberkriminalität” in Frankreich - Pati- 
entendaten aus Laboren im Netz, www. 
heise.de 27.02.2021, Kurzlink: https:// 
heise.de/-5067272). 


Schweiz 


Volksabstimmung gegen 
privatisierte E-ID 


Die Schweizer Stimmbürgerinnen und 
-bürger wollen gemäß dem Ergebnis 
einer Volksabstimmung Anfang März 
2021 keine elektronische Identifikati- 
on (E-ID), die von privaten Anbietern 
herausgegeben und vom Staat lediglich 
kontrolliert wird. Sie haben dem vom 
Bundesrat ausgearbeiteten und vom 
Parlament verabschiedeten E-ID-Gesetz 
eine deutliche Abfuhr erteilt. Gemäß 
den Endresultaten aus den Kantonen er- 
reichte das Bundesgesetz über die elek- 
tronischen Identifizierungsdienste (E- 
ID) nirgends eine Mehrheit. Unter dem 
Strich lehnten 64,4% der Abstimmen- 
den die Vorlage ab. In absoluten Zahlen 
waren 1.777.100 Stimmbürger dagegen 
und nur 984.200 dafür. In zwanzig Kan- 
tonen liegt der Nein-Anteil zwischen 60 
und 70%. In Basel-Stadt sowie in der 
Waadt wurde das E-ID-Gesetz mit 70,7% 
respektive 70,1% am klarsten verwor- 
fen. Im Tessin (55,8%), in Zug (59%) 
sowie in Nidwalden (59,6 Prozent) war 
das Nein etwas weniger deutlich. 

Der Ball liegt nun wieder beim Bun- 
desrat und beim Parlament. Selbst die 
Gegner des E-ID-Gesetzes wollen eine 
rasche Lösung. Umstritten war die Rol- 
lenteilung von Staat und Privaten. Das 
Stimmvolk sagte Nein zu einer privaten 
Lösung. Bei einer Neuauflage der E-ID 
wird also der Staat bei der Ausstellung 
und beim Betrieb federführend sein 
müssen. Im Abstimmungskampf hat- 
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te kaum jemand etwas grundsätzlich 
daran auszusetzen, die Digitalisierung 
voranzutreiben und die sichere Iden- 
tifikation von Personen im Internet zu 
ermöglichen. Viele wünschen sich, dass 
im Internet einfacher Verträge abge- 
schlossen oder Behördengänge erledigt 
werden könnten. Kritisiert wurde nicht 
der Inhalt, sondern der Weg zum Ziel. 

Das letztlich erfolgreiche Referen- 
dum gegen die Vorlage wurde von der 
Digitalen Gesellschaft lanciert und von 
SP, Grünen, Piratenpartei, VPOD, Inter- 
net Society Switzerland, Verein Public 
Beta, Grundrechte.ch sowie Senioren- 
organisationen unterstützt. Auch der 
Gewerkschaftsbund (SGB), Travail Suis- 
se, die GLP, die EDU und die Junge EVP 
engagierten sich für ein Nein zum E-ID- 
Gesetz. Es dürfe, so das Referendums- 
komitee, nicht sein, dass Daten in die 
Hände privater Firmen gelangten, die 
kommerzielle Interessen haben. Eine 
E-ID sei nur dann vertrauenswürdig, 
wenn sie staatlich sei. Der Bund müsse 
also selber eine E-ID anbieten und den 
Datenschutz gewährleisten. Gemäß dem 
gescheiterten Gesetz wären die Bundes- 
behörden lediglich für die Identifizie- 
rung einer Person zuständig gewesen. 

Die unterlegenen Befürworter des E- 
ID-Gesetzes verwiesen dagegen auf die 
strengen Datenschutzvorschriften. Das 
Parlament habe den Datenschutz noch 
verstärkt. Auch der Eidgenössische Öf- 
fentlichkeits- und Datenschutzbeauf- 
tragte (EDÖB) setzte sich für die Vor- 
lage ein, auch weil seine Rolle mit dem 
neuen Gesetz gestärkt worden wäre. 
Neu hätte eine staatliche Kommission 
für die Anerkennung der Aussteller von 
E-ID zuständig sein und diese auch be- 
aufsichtigen sollen. Konkret hätten die 
Anbieter einer E-ID die Daten zur Person 
und Transaktion nicht zusammenführen 
oder für andere Zwecke verwenden dür- 
fen. Zudem hätten die Transaktionsda- 
ten nach sechs Monaten gelöscht wer- 
den müssen. 

Eine gewisse Marktfreiheit für Anbie- 
ter sei gut und fördere den Innovations- 
geist, hielten die Befürworter dagegen. 
Als Herausgeberin in den Startblöcken 
stand bereits die Swiss Sign Group, die 
die Swiss ID betreibt. Zum Konsortium 
gehören Post, SBB, Swisscom, Börsen- 
betreiber Six, Großbanken und Versi- 
cherungen. An die Stelle der Passbüros 


würden Unternehmen wie Banken und 
Versicherungen treten und die sensib- 
len Daten der Bürgerinnen und Bürger 
verwalten, warnten die Kritiker der Vor- 
lage. Sie erachteten das Missbrauchspo- 
tenzial und die Risiken als zu groß, etwa 
bei einem Datendiebstahl. Eine elekt- 
ronische Identität sei unumgänglich, 
wolle die Schweiz nicht ins Hintertref- 
fen geraten, meinten die Befürworter. 
Sie verwiesen im Abstimmungskampf 
auch auf die Freiwilligkeit einer E-ID. 
Der Gang an den Schalter werde bei ei- 
nem Ja nicht verunmöglicht. Nach dem 
Nein müssen sich auch die Digitalisie- 
rungsfreunde nun noch eine Weile da- 
mit abfinden (Beutler, Stimmvolk ver- 
wirft private E-ID wuchtig, herisau24. 
ch 07.03.2021). 


Irland 


Kritik an Datenschutz- 
beauftragter Dixon 


Bei einer Anhörung im irischen Par- 
lament zur europäischen Datenschutz- 
Grundverordnung (DSGVO) ist die Da- 
tenschutzbeauftragte des Landes mit 
Datenschutzaktivisten aneinander 
geraten. Der Österreicher Max Schrems 
forderte eine dringende Reform der Da- 
tenschutzbehörde des Landes, Johnny 
Ryan vom Irish Council for Civil Liber- 
ties (ICCL) beklagte gar, dass „systema- 
tische Grundrechtsverletzungen” nicht 
überprüft würden. Die Datenschutzbe- 
auftragte, Helen Dixon, wies die Kritik 
zurück und sprach von „übertriebenen” 
und „vereinfachenden” Vorwürfen. Die 
Anhörung im Justizausschuss war Teil 
einer für 2021 angesetzten Überprüfung 
der DSGVO in dem Land. 

Bei der Durchsetzung der DSGVO 
kommt der irischen Datenschutzbehör- 
de eine Schlüsselrolle zu, weil Inter- 
netkonzerne wie Facebook, Google und 
Twitter ihren europäischen Hauptsitz in 
dem Land haben. Deswegen ist die iri- 
sche Data Protection Commission (DPC) 
für Datenschutzvorwürfe gegen diese 
zuständig, sie gilt aber als chronisch 
unterbesetzt und voreingenommen. In 
den von ihr eingeleiteten großen in- 
ternationalen Verfahren kommt sie nur 
langsam voran und in den anderen Staa- 
ten, in denen die DSGVO gilt, wird die 
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Ungeduld und Unzufriedenheit immer 
größer. Zuletzt kam eine Aufforderung 
aus dem EU-Parlament die Ermittlungen 
zu beschleunigen. 

Ryan erklärte den Parlamentariern, 
dass das Vorgehen der DPC Folgen für 
den Ruf und die Wirtschaft Irlands ha- 
ben könnte. In 196 Verfahren, in de- 
nen die Behörde in den vergangenen 
drei Jahren die Führung übernommen 
habe, habe sie gerade einmal vier Ent- 
scheidungen getroffen. Die DPC sei also 
in 98% der Fälle, die von europaweiter 
Bedeutung sind, gescheitert. Schrems 
erklärte, die Verteidigung der DPC, dass 
sie nicht in jedem Fall zu einer Ent- 
scheidung kommen müsse, heiße, dass 
sie Beschwerden einfach im Papierkorb 
verschwinden lassen könne. Trotz über 
10.000 Beschwerden im vergangenen 
Jahr plane die Behörde nur sechs bis 
sieben Entscheidungen, 99,93% lande- 
ten also im Papierkorb. 

Dixon verwahrte sich gegen die Kritik 
und erinnerte daran, dass keine zwei 
Entscheidungen gleich seien. Beide Kri- 
tiker würden nur an der Oberfläche krat- 
zen und teilweise übertreiben. Die Vor- 
stellung, dass man absichtlich eine Re- 
gulierung verweigere, sei falsch. Ryan 
hatte etwa gefordert, ihr zwei weitere 
Datenschutzbeauftragte an die Seite 
zu stellen. Schrems hatte derweil daran 
erinnert, dass Dixons Kollegen und Kol- 
leginnen in Spanien mit vergleichbaren 
Ressourcen zu fünf bis sechs Entschei- 
dungen pro Tag kommen würden. In Ös- 
terreich müssten Entscheidungen trotz 
des Geldmangels innerhalb von sechs 
Monaten entschieden werden (Holland, 
„DSGVO-Beschwerden in den Papier- 
korb”: Kritik an Irlands Datenschutzbe- 
auftragter, www.heise,de 28.04.2021, 
Kurzlink: https://heise.de/-6030504). 


Großbritannien 


Gericht lässt anonyme 
Klage von Minderjährigen 
gegen TikTok zu 


Ein 12-jähriges Mädchen aus Großbri- 
tannien hat das chinesische Kurzvideo- 
Unternehmen TikTok verklagt. Es wehrt 
sich dagegen, dass TikTok Informationen 
über Kinder sammle, die dazu verwen- 
det werden, den Algorithmus der App 
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zu verbessern und auf die Nutzerinnen 
und Nutzer zugeschnittene Inhalte aus- 
zuspielen. Dies verstoße gegen die gel- 
tenden Kinderschutzgesetze von Groß- 
britannien, aber auch der EU. TikTok 
nutzt demnach die persönlichen Daten 
von Minderjährigen - insbesondere aber 
auch von Kindern unter 13 Jahren - dazu 
deren Verhaltensmuster und Vorlieben 
zu analysieren. Dies soll dazu führen, 
dass die Kinder die App häufiger und län- 
ger benutzen - obwohl die AGB der App 
klar festhalten, dass es unter-13-Jähri- 
gen nicht erlaubt ist, diese zu nutzen. 

Die 12-Jährige wird bei ihrer Klage 
von Anne Longfield, der Beauftragen für 
Kinder in Großbritannien, unterstützt. 
Diese teilt die Meinung des Mädchens 
über die illegale Informationsbeschaf- 
fung der App. Longfield fordert von 
dem höchsten Gericht in England, dass 
alle Informationen, die TikTok über die 
12-jährige Klägerin gesammelt hat, ge- 
löscht werden müssen. Dies solle einen 
Präzedenzfall darstellen, der den Um- 
gang des Unternehmens mit ähnlichen 
Informationen diktiert. 

Bemerkenswert ist in dem Fall, dass 
das Gericht es der Klägerin erlaubt hat, 
die Klage anonym auszusprechen. Der 
Richter hat dies damit begründet, dass 
dem Mädchen möglicherweise Online- 
Mobbing von Seiten anderer Kinder 
oder Influencern droht, würde ihr Name 
bekannt gemacht werden: „Sie müsste 
mit wütenden Reaktionen von Personen 
rechnen, die ihren Status oder ihre Ein- 
kommensquelle bedroht sehen.” 

Es ist nicht das erste Mal, dass TikTok 
sich mit solchen Vorwürfen auseinan- 
dersetzen muss. Bereits im Jahr 2019 
musste das Unternehmen in den USA 
5,7 Mio. Dollar Strafe bezahlen, weil es 
persönliche Informationen von Minder- 
jährigen abspeicherte (DANA 3/2019, 
165). Ein ähnliches Urteil wurde in Süd- 
korea im Jahr 2020 gesprochen. Bei Tik- 
Tok heißt es derweil: „Privatsphäre und 
Sicherheit stehen bei TikTok an erster 
Stelle und wir haben robuste Regelun- 
gen, Prozesse und Technologien im Ein- 
satz, die alle Nutzerinnen und Nutzer 
und insbesondere die jungen schützen. 
Da wir nicht über diese Klage in Kennt- 
nis gesetzt wurden, sind wir erst vom 
britischen Gericht darüber informiert 
worden. Nun sind wir daran die Implika- 
tionen zu überprüfen.” 


Die AGB der App legen deutlich dar, 
dass es unter-13-Jährigen nicht erlaubt 
ist, den Service von TikTok zu benutzen 
und alle User, die einen Account erstel- 
len, müssen ihr Alter angeben. Profile, 
die den Anschein haben, dass sie von 
Personen, die jünger als 13 Jahre alt 
sind, betrieben werden, werden von 
TikTok, so die Ansage, gelöscht (Zeier, 
12-Jährige verklagt TikTok, www.20min. 
ch 04.01.2021). 


Großbritannien 


Kindergarten- 
Überwachungssystem war 
hackbar 


Das in Großbritannien im Einsatz be- 
findliche Überwachungskamerasystem 
für Kindergärten NurseryCam musste 
abgeschaltet werden, weil ein schweres 
Datenleck die Vertraulichkeit gefährde- 
te, indem es die Anmeldeinformationen 
der teilnehmenden Eltern offen zugäng- 
lich machte. 

NurseryCam erlaubt Eltern ihren 
Nachwuchs nach dem Absetzen dort aus 
der Ferne zu beobachten. Dazu nutzt es 
mehrere Kameras und einen digitalen 
Videorecorder (DVR). Zu diesem Zweck 
teilt die Firma hinter dem Überwa- 
chungssystem Footfalllam den Eltern 
Anmeldedaten mit. Eine Sicherheits- 
lücke in dem System hat dazu geführt, 
dass sich offenbar beliebig Daten der el- 
terlichen Konten auslesen ließen - dar- 
unter Nutzername, Passwort, Klarname 
und E-Mail-Adresse. Daraufhin hat das 
Unternehmen die Betroffenen infor- 
miert und seine Server zunächst abge- 
schaltet, bis das Problem behoben ist. 
Angeschlossen sind 40 Kindergärten in 
Großbritannien. 

Die Firma NurseryCam war von ei- 
nem Externen auf die Sicherheitslücke 
aufmerksam gemacht und aufgefordert 
worden die Sicherheit zu verbessern. 
Das Unternehmen teilte mit, die Person 
- offenbar ein gutgesinnter ‚White-Hat’- 
Hacker - habe sich „verantwortungsbe- 
wusst” verhalten und offenbar keinen 
Schaden mit den Daten anrichten wol- 
len. Darüber hinaus glaubt das Unter- 
nehmen, dass weder Kindergartenkin- 
der noch das Personal unerlaubt beob- 
achtet worden seien. Das Abschalten der 
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Server nannte die Firma eine Vorsichts- 
maßnahme. 

Das Unternehmen hat zudem die bri- 
tische Datenschutz-Aufsichtsbehörde 
(Information Commissioner’s Office, 
ICO) über den Vorfall informiert. Firmen 
in Großbritannien sind verpflichtet, Da- 
tenschutzverletzungen von „erheblicher 
Auswirkung” binnen 24 Stunden an das 
ICO zu melden. Die Sicherheit des Ka- 
merasystems war schon vorher anfällig 
gewesen. Über die zugehörige Mobil-App 
hatte sich jeder Administratorzugriff 
verschaffen und damit die Anmeldung 
als Nutzer umgehen können. Darauf soll 
das Unternehmen schon 2015 hingewie- 
sen worden sein; es hatte die Entdeckung 
jedoch gemäß Presseangaben herunter- 
gespielt und diese Lücke erst später ge- 
schlossen (Wittenhorst, Großbritannien: 
Kindergarten-Überwachungskameras 
wegen Datenleck abgeschaltet, www. 
heise.de 21.02.2021, Kurzlink: https:// 
heise.de/-5061272). 


Israel 


Impfgesetz vorläufig nicht 
anwendbar 


Das Oberste Gericht Israels legte mit 
einer einstweiligen Entscheidung am 
10.03.2021 auf Antrag von Menschen- 
rechtsgruppen ein Ende Februar vom 
Parlament beschlossenes Gesetz auf Eis, 
das die Weitergabe der Namen, Adressen 
und Telefonnummern von ungeimpften 
Israelis an lokale Ämter sowie an das Bil- 
dungs- und Sozialministerium erlaubt 
hätte. Dies hat zur Folge, dass die Betrof- 
fenen vorerst keinen direkten Druck der 
Behörden fürchten müssen. Ziel sollte 
laut dem Parlament sein, die Zögerlichen 
und Zweifler „persönlich zu ermutigen 
sich impfen zu lassen”. Ins Visier genom- 
men werden sollten auch diejenigen, die 
nach der ersten Dosis nicht zum zweiten 
Impftermin erschienen sind. Die Oppo- 
sition hatte datenschutzrechtliche Be- 
denken gegen das Gesetz geäußert, blieb 
aber in der Minderheit. 

Gerichtspräsidentin Esther Hayut 
begründete die Justizentscheidung 
damit, dass es in der Corona-Pandemie 
zu einer „fortschreitenden Erosion der 
Privatsphäre” komme. Die Regierung 
wurde aufgefordert noch einmal den ge- 
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nauen Nutzen des im Eiltempo beschlos- 
senen Gesetzes zu erklären. 

Die Datenweitergabe ist nicht der 
einzige Schritt, mit dem Israel bei der 
Pandemiebekämpfung auf Neuland vor- 
zudringen versucht. So startete das Ge- 
sundheitsministerium ein Pilotprojekt 
mit einer sog. elektronischen Armfessel: 
100 Menschen, die aus dem Ausland 
nach Israel zurückkehren, müssen diese 
in ihrer Heimquarantäne tragen, womit 
sie ständig lokalisiert werden können. 
Die Entscheidung dafür ist freiwillig - als 
Alternative droht allerdings die bisher 
für alle vorgesehene Hotel-Quarantäne 
in staatlicher Obhut. Das elektronische 
Armband war ein Jahr zuvor schon ein- 
mal diskutiert worden und damals als 
extreme Verletzung der persönlichen 
Rechte weithin zurückgewiesen worden. 
Im Laufe der Pandemie verändern sich 
offenbar die Maßstäbe: So meinte der 
israelische Rechtsexperte Adam Shenar, 
dass es bei Quarantäne in Sachen per- 
sönlicher Freiheit immer noch besser sei 
zu Hause ein Armband zu tragen als an 
einem fremden Ort eingesperrt zu wer- 
den (Impfgesetz in Israel kassiert, SZ 
11.03.2021, 7; Münch, Impfdruck am Te- 
lefon, SZ 26.02.2021, 7). 


Türkei 


Einreiseverfahren wird 
digital 


Seit dem 15.03.2021 fordert die Tür- 
kei von allen Einreisenden eine digitale 
Einreiseanmeldung. Demnach müssen 
Touristinnen und Touristen sowie an- 
dere Reisende binnen 72 Stunden vor 
der geplanten Einreise in die Türkei on- 
line ein Einreiseformular ausfüllen. Das 
digitale Einreiseformular wird auf der 
Website des türkischen Gesundheits- 
ministeriums zur Verfügung gestellt. 
Dort haben Reisende beim Ausfüllen 
die Wahl zwischen mehreren Sprachen, 
neben Türkisch werden auch Deutsch, 
Englisch und Spanisch angeboten. Das 
Formular fragt ähnliche Daten ab, wie 
sie bisher von Einreisenden bei der An- 
kunft in einen Papiervordruck einge- 
tragen werden mussten. Darunter sind 
Angaben zu Namen, Reisepassnummer 
und Kontaktdaten des Reisenden. Wie 
die Behörde im Begleittext erklärt, wird 


auf Basis dieser Daten automatisch ein 
persönlicher HES-Code erstellt. Er dient 
als Grundlage zur Nachverfolgung und 
Kontaktaufnahme, falls der Reisende 
während seines Aufenthaltes mit einer 
an COVID-19 erkrankten Person in Kon- 
takt gekommen ist. Das Gesundheitsmi- 
nisterium erklärt, dass die erhobenen 
Daten ausschließlich den zuständigen 
Behörden mitgeteilt und sonst keinen 
Institutionen oder Personen zugänglich 
gemacht werden. 

Der HES-Code wurde zuvor nur be- 
nötigt, wenn türkische Staatsbürger 
oder Touristen innerhalb der Türkei 
reisen und dabei beispielsweise Busse 
oder Inlandsflüge nutzen wollten. Nun 
wird er bereits vor der Einreise erstellt. 
Der Code ist entweder digital auf dem 
Smartphone oder in ausgedruckter 
Form mitzuführen und beim Check-in 
vorzulegen. Das türkische Gesundheits- 
ministerium weist darauf hin, dass es 
auch an der Grenze zu Kontrollen des 
ausgefüllten Formulars kommen kann. 
Wurde es nicht eingereicht oder sind 
darin falsche Angaben enthalten, wird 
Urlaubern die Einreise in die Türkei un- 
ter Umständen verweigert. 

Zusätzlich zum digitalen Einreisefor- 
mular benötigen alle Einreisenden in die 
Türkei ab sechs Jahren wie schon bisher 
einen negativen PCR-Test, der beim Ab- 
flug nicht älter als 72 Stunden sein darf. 
Urlauber aus Deutschland über zwei 
Jahren müssen darüber hinaus auch 
vor der Rückreise in die Bundesrepub- 
lik einen PCR-Test vornehmen lassen. 
Dieser darf frühestens 48 Stunden vor 
dem Heimflug erfolgen und wird noch 
vor Antritt der Heimreise durch die tür- 
kischen Behörden kontrolliert. Da die 
Türkei als Corona-Risikogebiet gilt, 
greift in Deutschland für Reiserück- 
kehrer eine Quarantänepflicht (Türkei- 
Urlaub: Digitale Einreiseanmeldung ab 
15. März Pflicht, urlaub.check24.de 
11.03.2021). 


USA 


Überlegungen zur Be- 
schränkung des internatio- 
nalen Datentransfers 


Der demokratische US-Senator Ron 
Wyden hat einen Entwurf für ein US- 
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amerikanisches Bundes-Datenschutz- 
gesetz vorgestellt, das die Weitergabe 
persönlicher Informationen der US-Bür- 
ger ins Ausland wesentlich einschrän- 
ken soll. Der „Protecting Americans’ 
Data from Foreign Surveillance Act” 
verknüpft dabei die Themen Nationale 
Sicherheit mit der Kritik an dem aus- 
ufernden Datenhandel. Wyden: „Zwie- 
lichtige Datenhändler sollten nicht 
dadurch reich werden, dass sie persön- 
liche Daten von Amerikanern an Länder 
verkaufen, die unsere nationale Sicher- 
heit bedrohen könnten.” 

Das Gesetz sieht vor, dass die US-Re- 
gierung eine Liste von Ländern erstellt, 
an die ohne Probleme Daten geliefert 
werden können. Anbieter mit Sitz in ei- 
nem anderen Land sollen sich erst um 
eine Exportlizenz bewerben müssen, be- 
vor sie Daten von US-Bürgern verarbei- 
ten dürfen. Zudem sollen Bürger Scha- 
densersatzansprüche erhalten, wenn 
sie aufgrund solcher exportierter Daten 
Schaden erleiden oder gar im Ausland 
verhaftet werden. 

Das Gesetz kombiniert mehrere aktu- 
elle Strömungen in der Diskussion. Zum 
einen ist das Land besorgt um die chi- 
nesische Daten-Vormacht und versucht 
sich gegen den Einfluss chinesischer 
Anbieter abzuschotten. Zum anderen 
zeigen sich Wyden und Kollegen be- 
sorgt um das Ausmaß des Datenhandels 
von inländischen Firmen, die vor al- 
lem zu Werbezwecken Profile für jeden 
Internetnutzer anlegen und in einem 
komplexen Geflecht von Firmen und 
Lieferbeziehungen weitergeben. Wy- 
den und mehrere Kollegen hatten von 
Firmen wie Google und Twitter, aber 
auch Providern wie AT&T und Verizon 
Auskunft gefordert, an welche Firmen 
Daten im Rahmen des sogenannten Real 
Time Biddings auf Werbeplattformen 
weitergegeben werden. Zwar hat der 
konkrete Gesetzentwurf kaum Chancen 
tatsächlich verabschiedet zu werden, 
doch mithilfe solcher Vorstöße wird die 
Diskussionsgrundlage für ein mögliches 
US-Datenschutzgesetz abgesteckt. 

Johnny Ryan vom Irish Council on Ci- 
vil Liberties (ICCL) vermutet, dass nicht 
nur geopolitische Gegner der USA so von 
dem globalen Datenstrom ausgeschlos- 
sen werden könnten. Er spekuliert in 
einem offenen Brief damit, dass Irland 
aufgrund der nachlässigen Bearbeitung 
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von Datenschutzbeschwerden ebenfalls 
auf die Liste der unzuverlässigen Län- 
der landen könnte. Dies habe enorme 
Konsequenzen: „Solche Lizenzen zu 
erlangen ist sehr schwierig - es werden 
die gleichen Anforderungen gestellt 
wie etwa für den Export von nuklearem 
Material.“ Um ein solches Szenario di- 
rekt zu verhindern, plädiert der ICCL 
für eine konsequentere Umsetzung der 
Datenschutz-Grundverordnung (Kleinz, 
USA: Gesetzentwurf soll Datenexport 
begrenzen - Sorge in Irland, www.heise. 
de 16.04.2021, Kurzlink: https://heise. 
de/-6018071). 


USA 


FISC rügt FBI-Auswertun- 
gen aus NSA-Massenüber- 
wachung 


Der Foreign Intelligence Surveillance 
Court (FISC) rügte erneut die nationale 
Polizei, das Federal Bureau of Investi- 
gation (FBI), weil es „im großen Stil” 
Regeln zum Schutz der Privatsphäre 
von US-Bürgern verletzt. Dennoch bil- 
ligte das unter strenger Geheimhaltung 
agierende US-Gericht die Anwendung 
der gesetzlichen Klausel im Foreign 
Intelligence Surveillance Act (FISA) 
für Massenüberwachung weiter. In ei- 
nem mit Schwärzungen zur Veröffent- 
lichung freigegebenen FISC-Urteil vom 
18.11.2020 zählt der Vorsitzende Rich- 
ter James Boasberg mehrere Fälle auf, in 
denen FBI-Agenten rechtswidrig nach 
Informationen über US-Amerikaner in 
E-Mails gesucht haben, die die Natio- 
nal Security Agency (NSA) zuvor ohne 
individuelle Richtergenehmigungen er- 
hoben hatte. Durch die neuen Beispiele 
untermauert der Richter ein schon wie- 
derholt zutage getretenes Problem, das 
er bereits in früheren Entscheidungen 
angesprochen hatte. 

Ein Mitarbeiter eines FBI-Außenbüros 
hat demnach von April bis Juli 2019 
124 Abfragen unter Verwendung von 
Personenkennungen durchgeführt, die 
nicht den Standards entsprachen. Dabei 
handelte es sich z.B. um Personen, die 
bei der „Bürgerakademie” des FBI mehr 
über die Rolle der Strafverfolgungsbe- 
hörden des Bundes lernen wollten. Dazu 
kamen Bürger, die in FBI-Dienststellen 


vorstellig wurden, um Reparaturen 
durchzuführen und Verbrechen anzu- 
zeigen. Von August bis Oktober 2019 
soll ein FBI-Arbeitsgruppenleiter in ei- 
nem anderen Büro weitere 69 unzuläs- 
sige Abfragen durchgeführt haben. An- 
dere gemeldete Verstöße betrafen Fahn- 
der, die es versäumten die Abfrage von 
FISA-Rohdaten für unzulässige Zwecke 
wie etwa Notrufabfragen zu beenden. 

Das FBI soll versucht haben dem Pro- 
blem Herr zu werden. Die Polizeibehör- 
de wollte dazu gemäß Presseberichten 
neue Systemschutzmaßnahmen einfüh- 
ren und Mitarbeiter besser schulen. Die 
Coronavirus-Pandemie habe die Ermittler 
aber zunächst daran gehindert zu prü- 
fen, ob der Ansatz greift. Trotzdem war 
Richter Boasberg bereit dem NSA-Über- 
wachungsprogramm die gesetzlich vor- 
geschriebene Bestätigung zu erteilen, 
dass alles prinzipiell verfassungskon- 
form ablaufe. Der Inlandsgeheimdienst 
kann die damit verknüpften Befugnisse 
also ein weiteres Jahr ausüben. 

In dem Urteil geht es um Anordnun- 
gen nach Paragraf 702 FISA. Der zuletzt 
Anfang 2018 verlängerte einschlägige 
Artikel des Gesetzes zur Auslandsauf- 
klärung erlaubt es der NSA von nationa- 
len Unternehmen, Ämtern und Einrich- 
tungen wie Telekommunikationsanbie- 
tern oder Bibliotheken E-Mails und an- 
dere Daten ihrer Kunden anzufordern. 
Die CIA, das National Counterterrorism 
Center und das FBI haben ebenfalls be- 
grenzten Zugang zu den Informations- 
strömen. Das FBI erhält dabei Kopien 
abgefangener Nachrichten von und zu 
Zielpersonen, die es für laufende Ermitt- 
lungen zur nationalen Sicherheit als re- 
levant erachtet. Das Volumen belaufe 
sich auf etwa 3,6% der Selektoren der 
NSA, erklärte ein leitender FBI-Beamter 
Medienvertretern am 26.04.2021. „Sec- 
tion 702” FISA war zusammen mit Para- 
graf 215 des Patriot Acts, den der US- 
Kongress mit dem „USA Freedom Act” 
bereits 2015 erstmals und 2020 erneut 
überarbeitete, mit den Snowden-Ent- 
hüllungen ins Licht der Öffentlichkeit 
gerückt. Die Klausel dient der NSA als 
Rechtsgrundlage für die weitreichen- 
den Überwachungsprogramme Prism 
und Upstream, mit der sich der Geheim- 
dienst massenhaft Daten von Internet- 
firmen beziehungsweise aus Glasfaser- 
leitungen, darunter Unterseekabeln, 
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beschafft. Voraussetzung ist allein eine 
allgemeine Erlaubnis des FISC. Die NSA 
legte sich nach der öffentlichen Kritik 
zunächst selbst Schranken auf, die eine 
extreme Rundumüberwachung verhin- 
dern sollen (Krempl, Überwachung: US- 
Geheimgericht tadelt FBI erneut wegen 
schweren Missbrauchs, www.heise.de 
29.04.2021, Kurzlink: https://heise. 
de/-6031350). 


USA 


Tesla-Bilder überführen 
Brandstifter 


US-Strafverfolger sind offenbar auch 
dank der Kameras in einem Tesla auf 
die Spur eines mutmaßlichen Straftä- 
ters gekommen, der in Massachusetts 
eine Kirche angezündet und Reifen von 
mehreren Autos zerstochen haben soll. 
Gemäß einer eidesstattlichen Erklärung 
einesFBI-Agenten, in der diegesammel- 
ten Beweise zusammengefasst werden, 
konnten die Ermittler Fotos sicherstel- 
len, die die Kameras des Elektroautos 
von dem Verdächtigen gemacht hätten, 
als der sich an den Reifen zu schaffen 
gemacht hat. Weil die Angriffe auf die 
Autos mit mutmaßlich gelegten Feuern 
in einer nahen Kirche in Zusammen- 
hang gebracht werden, hätten die Fotos 
bei der Identifikation des Verdächtigen 
geholfen. 

Bei den Ermittlungen geht es vor al- 
lem um die Zerstörung einer Kirche in 
Springfield (Massachusetts), die fast 
ausschließlich von Schwarzen besucht 
wurde. Die Ermittler gehen von einem 
Hassverbrechen aus, dem mehrere Ver- 
suche vorausgingen Brände in dem 
Gotteshaus zu legen. In Verbindung mit 
diesen Feuern seien auch Angriffe auf 
Autos in unmittelbarer Nähe der Kirche 
untersucht worden. Bei einem seien zwei 
Reifen eines Tesla gestohlen worden, der 
einen Farbigen als Besitzer habe. Die Er- 
mittler konnten Fotos sicherstellen, die 
den Verdächtigen bei diesem Angriff zei- 
gen. Die Überwachungsfotos des Teslas 
sind gemäß dem Bericht so gut, dass der 
Verdächtige darauf eindeutig identifi- 
ziert werden konnte. 

Der Fall zeigt einmal mehr, wie vie- 
le Daten die Tesla-Fahrzeuge mit ihren 
Kameras und Sensoren sammeln kön- 
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nen, nicht nur während der Fahrt. Die 
vom FBI verwendeten Fotos dürften im 
sogenannten Wächtermodus gemacht 
worden sein, in dem geparkte Teslas 
ihre Umgebung überwachen (DANA 
4/2020, 227 ff.). Die chinesische Regie- 
rung hatte Ende März die Nutzung der 
Elektroautos durch Militärangehörige 
und Mitarbeiter wichtiger staatlicher 
Unternehmen eingeschränkt. Peking 
befürchtete Berichten zufolge, dass sol- 
che Daten bei einem Transfer in die USA 
an den Sitz des Herstellers die nationale 
Sicherheit Chinas gefährden könnten. 
Tesla-Chef Elon Musk hatte damals um 
Vertrauen in den verantwortungsvollen 
Umgang Teslas damit geworben (Hol- 
land, USA: Geparkter Tesla fotografiert 
mutmaßlichen Brandstifter, www.heise. 
de 16.04.2021, Kurzlink: https://heise. 
de/-6017816; siehe unten sowie in die- 
sem Heft S. 116 und S. 131). 


USA 


Videosysteme bei Tesla, Po- 
lizei und Schulen geknackt 


Unbefugte haben gemäß einem Me- 
dienbericht 150.000 Überwachungs- 
kameras einer US-Firma unter anderem 
in Krankenhäusern, Gefängnissen, 
Schulen und Polizeirevieren angezapft: 
Die Täter sollen das Passwort eines 
Super-Administrator-Zugangs im In- 
ternet gefunden haben. Der Betreiber 
der Kameras wirbt speziell mit Sicher- 
heitsfeatures und Gesichtserkennung. 
Betroffen sind Unternehmen wie der 
Elektroauto-Hersteller Tesla und die 
IT-Sicherheitsfirma Cloudflare. Gemäß 
dem Bericht haben die Hacker Aufnah- 
men vom Tesla-Standort Shanghai vor- 
geführt. Das kalifornische Start-up Ver- 
kada, von dem die Kameras stammen, 
teilte in einer ersten Reaktion mit, man 
untersuche „das Ausmaß des potenziel- 
len Problems“. 

Es passiert immer wieder, dass Bilder 
günstiger Sicherheitskameras für den 
Haushalt abgegriffen werden - vor allem 
wenn die Nutzer die voreingestellten 
Standard-Passwörter der Geräte nicht 
ändern. Dass eine Firma mit großen 
Kunden so leicht angreifbar ist, scheint 
bisher einzigartig. Die Eindringlinge ha- 
ben den berichtenden Medienvertretern 


Aufnahmen der Videoüberwachungen 
aus einem Polizeirevier im US-Bundes- 
staat Massachusetts, einem Gefängnis 
in Alabama und einem Krankenhaus in 
Florida gezeigt. In dem Gefängnis sei 
es ihnen gelungen, 330 Kameras anzu- 
zapfen. Bei Tesla seien es 222 Kameras 
gewesen. Sie hätten sich auch Zugang 
zum Videoarchiv der Verkada-Kunden 
verschafft. Nachdem Verkada kontak- 
tiert worden war, hatten die Hacker den 
Zugang zu den Videosystemen verloren 
(Überwachungskameras bei Tesla, Poli- 
zei und Schulen geknackt, www.heise. 
de 10.03.2021, Kurzlink: https://heise. 
de/-5076211). 


USA 


Palantir-Aktie wenig 
erfolgreich 


Seit der letzten Februar-Woche 2021 
brachte die Palantir Technologies- 
Aktie den Anlegern kaum Freude. Der 
Kurs schwankte in New York um 25 
US-Dollar, wobei unklar ist, wohin die 
Reise geht. In einem Interview erklärte 
CEO Alex Karp Ende März für das Un- 
ternehmen, einem Spezialisten für das 
Management großer Datenmengen, be- 
stehe Entwicklungspotenzial vor allem 
im Bereich des Datenschutzes. Dafür 
müssten unbedingt Staat und Verwal- 
tung aktiv werden, denn der Schutz 
sowohl der eigenen Daten, als auch 
der von fremden Daten überfordere 
Nutzer inzwischen massiv und sei nur 
noch von Software-Experten leistbar. 
Im zweiten Entwicklungsbereich, so 
Karp, gehe es um die Steuerung von 
militärischen Einrichtungen und die 
Verarbeitung von großen Mengen an 
Informationen. Hier wie dort setze Pa- 
lantir auffertige Softwarelösungen. Sie 
benötigten keine Software-Entwickler 
für die dauerhafte Anwendung und 
hätten daher einen hohen Nutzwert für 
die Kunden. 

Einer der wichtigen Bereiche, in de- 
nen Palantir aktiv ist, ist die Bekämp- 
fung von sexuellem Missbrauch von 
Kindern. Zur Verbrechensaufklärung 
und Vorbeugung arbeiten weltweit Be- 
hörden mit Palantir-Software. Das Un- 
ternehmen aus Palo Alto ist der WePro- 
tect Global Alliance beigetreten. Die Or- 
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ganisation hat das Ziel, den Schutz von 
Kindern und Jugendlichen weiter zu 
verbessern. In der Alliance will Palantir 
auch Wege finden, um engere Kontakte 
zu anderen Mitgliedern wie Adobe und 
Unicef zu knüpfen. 

Sicherheitsfragen, Datenschutz und 
medizinische Planungen haben Kon- 
junktur. Große Unternehmen sind hier 
meist nicht selbst engagiert, sondern 
kaufen Software bei Zulieferern ein. Das 
bringt Mitbewerbern auch in Europa 
derzeit Aufschwung. Im Vergleich mit 
dem Index technischer Werte hat Palan- 
tir bislang in diesem Bereich nicht mit- 
halten können (Scheibel, Palantir Tech- 
nologies-Aktie: Viele Daten - wenig Po- 
wer! www.finanztrends.de 21.03.2021). 


China 


Tesla-Autos für Funktionäre 
ungeeignet 


Die chinesische Regierung schränkt 
gemäß Presseberichten die Nutzung 
von Tesla-Fahrzeugen durch Militär- 
angehörige und Mitarbeiter wichti- 
ger staatlicher Unternehmen ein. Die 
Staatsführung in Peking befürchtet 
demnach, dass die von den E-Autos 
etwa von Überwachungskameras und 
Sensoren gesammelten Daten bei einem 
Transfer in die USA an den Sitz des Her- 
stellers die nationale Sicherheit Chinas 
gefährden könnten. Deshalb habe die 
Regierung einige nationale Behörden 
angewiesen ihre Mitarbeiter nicht mehr 
mit Teslas zur Arbeit fahren zu lassen. 
Die Rede ist auch von einem Verbot 
des Einsatzes der Wagen in Kasernen 
sowie in Wohnkomplexen mit Familien 
von Angestellten in sensiblen Industri- 
en wie der Luft- und Raumfahrt und in 
der öffentlichen Verwaltung. Es sei zu 
befürchten, dass Tesla-Fahrzeuge stän- 
dig im Aufnahmemodus seien und ver- 
schiedene Daten einschließlich kurzer 
Videos aufzeichneten. Der Schritt folgt 
auf eine Sicherheitsüberprüfung einzel- 
ner Fahrzeuge des Autobauers im Auf- 
trag der chinesischen Exekutive. Dabei 
habe sich bestätigt, dass sich über die 
erhobenen Messwerte leicht verfolgen 
lasse, wann, wie und wo die Wagen be- 
nutzt werden. Ausgelesen würden auch 
die Kontaktlisten von Mobiltelefonen, 
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die mit den akkubetriebenen Autos syn- 
chronisiert sind. 

Der chinesische Staatschef Xi Jinping 
will China zunehmend unabhängig von 
ausländischer Technologie machen. Pa- 
rallel verschärft sich seit Monaten der 
Handelskrieg mit den USA. Laut den 
Berichten reagiert China mit der An- 
weisung auf US-Exportbeschränkungen 
für Komponenten für Kommunikations- 
geräte chinesischer Unternehmen wie 
Huawei. Washington hat den Netzaus- 
rüster und Smartphone-Hersteller als 
Bedrohung für die nationale Sicherheit 
eingestuft und einen Bann für dessen 
Produkte in US-Mobilfunknetzen ausge- 
sprochen. Der chinesische Markt ist für 
Tesla immer wichtiger geworden. Nicht 
zuletzt der Verkauf von 147.445 Fahr- 
zeugen in dem Land verhalf dem E-Mo- 
bilitätsunternehmen 2020 zum Rekord 
von insgesamt rund 500.000 Fahrzeug- 
auslieferungen weltweit. Nach der Er- 
öffnung eines Werks in Schanghai setzte 
sich der Konzern 2020 als Marktführer 
für Elektroautos vor einheimischen Her- 
stellern durch. 

Elon Musk, Chefund „Technoking” von 
Tesla, warb angesichts der Vorwürfe um 
die Gunst der Chinesen: „Für uns ist der 
Ansporn groß mit Informationen sehr 
vertraulich umzugehen“, betonte er am 
20.03.2021 als virtueller Teilnehmer am 
Chinesischen Entwicklungsforum in Pe- 
king: „Sollte Tesla Autos benutzen, um 
in China oder anderswo zu spionieren, 
werden wir dichtgemacht.” Es wäre gut, 
wenn China und die USA sich generell 
weniger argwöhnisch gegenüberstün- 
den. Tesla hält sich nach eigenen Anga- 
ben mit seinen Datenschutzbestimmun- 
gen an chinesisches Recht. 

Im Herbst 2020 war das Netzwerk Da- 
tenschutzexpertise in einem Gutach- 
ten zum Schluss gekommen, dass die 
Datenverarbeitung in einem Tesla 3 „in 
vieler Hinsicht gegen die europäischen 
Vorgaben” des Daten- und des Verbrau- 
cherschutzes verstößt. Acht Kameras ge- 
währten eine 360-Grad-Rundumüberwa- 
chung der Fahrzeugumgebung in bis zu 
250 Meter Entfernung. Ergänzt würden 
sie durch Ultraschall- und Radarsenso- 
ren. Tesla-Fahrzeuge dürften aufgrund 
des damit verknüpften Wächtermodus 
„auf europäischen Straßen nicht zu- 
gelassen werden“. Die niederländische 
Autoriteit Persoonsgegevens hat als zu- 


ständige EU-Datenschutzaufsichtsbe- 
hörde Verfahren gegen den US-Konzern 
am Laufen, zu denen sie sich aber erst 
nach deren Abschluss äußern will. Das 
Bayerische Landesamt für Datenschutz- 
aufsicht hatte angekündigt dem Wäch- 
termodus rechtlich und technisch auf 
den Zahn fühlen zu wollen, war aufgrund 
von Corona-Beschränkungen aber bisher 
nicht dazu gekommen (Krempl, Daten- 
schutzbedenken: China schränkt Tesla- 
Fahren für Funktionäre ein, www.heise. 
de 21.03.2021, Kurzlink: https://heise. 
de/-5993943, siehe oben S. 130). 


China 


Invasive Einreiseschika- 
nen mit Corona-Gesund- 
heitstests 


Chinesische Behörden haben einen 
gesunden Deutschen nach dem Grenz- 
übertritt über Wochen im Krankenhaus 
festgehalten, führten Dutzende medizi- 
nische Tests durch und hatten ihm hier- 
für immer wieder Blut abgenommen. 
Der Mann war Anfang 2021 nach China 
eingereist und hatte, wie vorgeschrie- 
ben, einen PCR- und einen IgA-Antikör- 
pertest gemacht, die beide ohne Befund 
waren. Dass er zuvor an Corona erkrankt 
und wieder genesen war, hatte er in sei- 
nen Einreisedokumenten vermerkt. 

Bei seiner Ankunft in China waren ein 
weiterer PCR- und der IgA-Test negativ. 
Der IgG-Test - ein weiterer Bluttest auf 
Antikörper - fiel dagegen positiv aus. 
Dies spricht dafür, dass der Mann die 
Infektion durchgemacht hat und nicht 
mehr ansteckend ist. Sowohl der PCR- 
Test als auch die Antikörper vom Typ 
IgA und IgM sind während der akuten 
Infektion und kurz danach positiv. Nach 
der Erkrankung fallen sie wieder negativ 
aus. Ein positiver IgG-Test ist dann eine 
erfreuliche Nachricht. Er zeigt an, dass 
Antikörper gegen Sars-CoV-2 vorhanden 
sind und Immunschutz besteht. Solan- 
ge die Antikörper nachweisbar sind, 
ist es unwahrscheinlich, sich erneut 
anzustecken. Ein medizinischer Grund 
jemanden festzuhalten, besteht bei die- 
sen Testergebnissen nicht. 

Die chinesischen Behörden brachten 
den Mann dennoch in ein Krankenhaus, 
wo er sich nach einem Monat immer 
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noch aufhalten musste. Der Deutschen 
Botschaft wurde keine Einsicht in me- 
dizinische Unterlagen des Mannes ge- 
währt, die erklären könnten, weshalb 
er festgehalten wird und wozu die Tests 
dienen sollten. 

Der Fall ist nicht der einzige: Ein 
weiterer deutscher Staatsbürger wurde 
nach seiner Einreise in China trotz nega- 
tiven Tests länger für Untersuchungen 
festgehalten. Ein entsprechender Fall 
wird aus einer europäischen Botschaft 
berichtet. 

Auf diese Fälle hin hat das deutsche 
Auswärtige Amt am 09.02.2021 seine 
Reisehinweise in Bezug auf China ver- 
schärft: „Personen mit auskurierten 
Covid-19-Erkrankung werden, trotz ne- 
gativer PCR- und IgM-Antikörpertests ... 
bei Einreise in sofortige mehrwöchige 
Krankenhausquarantäne überführt und 
weitreichenden Untersuchungen unter- 
zogen. Dies kann auch Personen betref- 
fen, die aufgrund einer unentdeckten 
Erkrankung an Covid-19 noch Antikör- 
per aufweisen.” Das Gleiche könne auch 
für Personen gelten, die mit demselben 
Flug eingereist sind wie jemand, der im 
Anschluss positiv getestet wird: „Medi- 
zinische Maßnahmen der chinesischen 
Seite sind invasiv und beinhalten neben 
teils täglichen Blutentnahmen häufig 
auch Computertomografie-Aufnah- 
men.” Aus wissenschaftlicher Sicht gibt 
es für dieses Vorgehen keine sinnvolle 
Erklärung. 

Das Auswärtige Amt teilte mit, man 
habe bei der chinesischen Regierung 
Protest eingelegt. Untersuchungen ge- 
gen den Willen der Betroffenen sowie 
nicht sinnvolle Tests sehe man kritisch. 
Ebenso kritisiere man die langen Qua- 
rantänezeiten sowie die Hotelquarantä- 
ne. Maßnahmen müssten verhältnismä- 
ßig und medizinisch sinnvoll sein. Von 
den verschärften Einreisebedingungen 
in die Volksrepublik China seien auch 
Mitarbeiterinnen und Mitarbeiter des 
Auswärtigen Amtes und deren Angehö- 
rige betroffen: „Wir raten grundsätzlich 
von Reisen in die Volksrepublik China 
ab.” Die Erfahrung zeigt, dass Einrei- 
sende neben Tests in Rachen und Nase 
auch Stuhltests unterzogen werden, in 
denen das Virus länger nachgewiesen 
werden kann. 

Der Manager eines europäischen Kon- 
zerns bezeichnete einige der Maßnah- 
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men als „durchgeknallt“. Jedes noch so 
unsinnige Verfahren werde genutzt, um 
bei Ausbrüchen später sagen zu kön- 
nen, dass man alles getan habe. Viele 
Beschäftigte schrecken aufgrund der 
Gruselgeschichten aus der Quarantäne 
und der Willkür bei ihrer Umsetzung in- 
zwischen von einer Einreise oder einer 
Rückkehr nach China zurück. Infizierte 
Minderjährige werden bei der Einreise 
laut chinesischen Vorschriften von ih- 
ren Eltern getrennt und allein im Kran- 
kenhaus isoliert. Unabhängig vom Alter 


der Kinder ist es den Eltern verboten 
sie zu begleiten, so dass einige Kinder 
europäischen Diplomaten zufolge von 
ihren Eltern wochenlang getrennt wa- 
ren. Das Auswärtige Amt bestätigt, dass 
man sich mehrfach gegen die Trennung 
von Eltern und Kinder gewehrt haben. 
Gemäß der deutschen Auslandshan- 
delskammer sind die Einreisebeschrän- 
kungen inzwischen das größte Problem 
deutscher Firmen in China (Bartens/ 
Deuber Festgehalten im Krankenhaus 
SZ 11.02.2021, 7). 


Technik-Nachrichten 


Tracking auch bei E-Mails 


Das Nutzer-Tracking auf Webseiten 
ist seit Jahren ein großes Thema. Weit- 
gehend unbeachtet blieb, dass es bei 
E-Mails kaum anders aussieht: Ein bri- 
tischer E-Mail-Dienstleister hat analy- 
siert, wie häufig so genannte Spy-Pixel 
in E-Mails zu finden sind. Die Ergeb- 
nisse sind in mancher Hinsicht über- 
raschend: Wer seine Nachrichten nicht 
auf einer Web-Oberfläche im Browser 
liest, sondern im lokalen E-Mail-Cli- 
ent, ist demnach durch die bestehen- 
den gesetzlichen Regelungen kaum 
geschützt. 

Die eingebetteten Pixel lassen beim 
Absender unter anderem Schlüsse da- 
rüber zu, ob und wann eine E-Mail 
geöffnet wurde, wie oft der Nutzer sie 
angeschaut hat, welches Gerät beim 
Lesen der Nachricht genutzt wurde 
und von welcher IP-Adresse der Zugriff 
erfolgte - was in vielen Fällen Rück- 
schlüsse auf den Standort des Users 
zulässt. Diese Datenerfassung wird von 
den Anbietern als ganz normales Mittel 
des Marketings angesehen. Sie vertei- 
digen sich in der Regel damit, dass die 
Methoden irgendwo in den Nutzungs- 
bedingungen oder Datenschutz-Ver- 
einbarungen niedergeschrieben sind. 
Explizite Warnungen, wie sie Web- 
Nutzern inzwischen zwingend beim 
Einsatz von Cookies gegeben werden 
müssen, gibt es hier aber nicht. 


Die Analyse zeigte, dass entsprechen- 
de Tracking-Pixelin etwa zwei Drittel al- 
ler E-Mails zu finden sind. Dieser Anteil 
ist ziemlich unabhängig davon, ob man 
den klassischen Spam mitzählt oder zu- 
vor aussortiert. Und während quasi alle 
großen Marken freizügig auf diese Me- 
thode der Sammlung von Nutzerdaten 
zurückgreifen, verzichten am ehesten 
die großen Tech-Unternehmen auf ih- 
ren Einsatz. Das dürfte daran liegen, 
dass diese seit Jahren intensiv in die 
Auseinandersetzungen um den Daten- 
schutz eingebunden und entsprechend 
vorsichtig sind. 

Es gibt auch Fälle, die weit über das 
Tracking allgemeiner Informationen 
hinausgehen und bei den Usern für Un- 
behagen sorgen dürften. So erhielten 
Nutzende auch sehr explizite Nachfra- 
gen: „Ich habe gesehen, dass Sie meine 
E-Mail gestern gelesen, aber noch nicht 
geantwortet haben. Darf ich sie anru- 
fen?” Einen Schutz vor den kleinen Da- 
tensammlern gibt es bei E-Mails kaum. 
So lassen sich die meisten E-Mail-Clients 
nicht einfach mit Erweiterungen bestü- 
cken, die solche Tracking-Mittel aus- 
filtern. Und den Kampf darum, dass E- 
Mails auch im ganz klassischen Sinne als 
reiner Text empfangbar und lesbar sein 
sollten, haben selbst die meisten hart- 
gesottenen User aufgegeben (Tracking 
in E-Mails: Hier läuft die Datensamm- 
lung unter dem Radar, 28.01.2021, 
winfuture.de/news121286.html). 
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Clubhouse setzt für 
Einladungen Adressbuch- 
zugriff voraus 


Seit dem Deutschlandstart des audio- 
basierten Social Networks Clubhouse 
hagelt es Kritik von Datenschützern. Ein 
häufiger Kritikpunkt: Wer jemanden auf 
die Plattform einladen will, der muss der 
App dazu Zugriff auf das eigene Adress- 
buch gewähren. Daraufhin sendet die 
App sämtliche dort erfassten Telefon- 
nummern an die Betreiberfirma Alpha 
Exploration. Dass die übertragenden 
Telefonnummern gespeichert werden, 
zeigt sich in Clubhouse daran, dass die 
App zu jeder Telefonnummer aus dem 
eigenen Adressbuch sagen kann, wie 
viele „Freunde“ sie bereits auf Clubhouse 
hat. Der Anbieter sammelt demnach Da- 
ten von Menschen, die selbst in keinem 
direkten Kontakt zu dem Dienst stehen 
und dessen Datenschutzrichtlinien nie 
widersprechen konnten. 

Offenbar wird das Adressbuch nicht 
nur einmalig beim ersten Aufruf der App 
an die Clubhouse-Betreiber übertragen. 
Wie eine Datenanalyse von Zerforschung. 
org zeigt, werden die gespeicherten Tele- 
fonnummern bei jedem Aufruf der Einla- 
defunktion erneut an einen Server des 
Anbieters gesendet. So könnte Alpha Ex- 
ploration im Laufe der Zeit nachvollzie- 
hen, wer sich wann kennengelernt hat. 
Immerhin zeigt die Datenanalyse aber 
auch, dass wirklich nur die Telefonnum- 
mern und nicht auch die dazugehörigen 
Namen übertragen werden. 

Wer möchte, der kann Clubhouse un- 
ter i0S auch nachträglich den Zugang 
zum Adressbuch entziehen. Dazu geht 
man zunächst auf „Einstellungen“ und 
wählt dort den Eintrag „Datenschutz” 
aus. Unter „Kontakte“ kann man dort 
Clubhouse den Zugang zum Adressbuch 
entziehen. Beim nächsten Aufruf der 
Einladefunktion von Clubhouse fragt die 
App dann erneut, ob Clubhouse die Kon- 
takte übermittelt bekommen darf. Im 
Fall der Ablehnung kann man auch keine 
weiteren Menschen in die App einladen. 
Da Clubhouse seine Popularität in Teilen 
auch der künstlichen Verknappung von 
Zugängen verdankt, dürften die meis- 
ten Nutzerinnen und Nutzer diesen Weg 
aber wohl eher nicht wählen - zumindest 
nicht, solange sie noch Einladungen 
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vergeben wollen (Clubhouse und Daten- 
schutz: So fleißig sammelt die App eure 
Kontaktdaten, t3n.de 01.02.2021). 


Kl analysiert Genwirk- 
mechanismen 


Forschende kartografieren seitJahren 
für viele Organismen die Positionen der 
Gene in der DNA, doch die Steuerung 
der Genaktivität ist noch wenig ver- 
standen. An welchen Stellen ist kodiert, 
welche Gene ein Organismus wann in 
welchem Gewebe einsetzt und damit die 
gewebespezifischen Proteine herstellt? 
Ein interdisziplinäres Team aus For- 
schenden der TU München, des Stowers 
Institute for Medical Research in Kansas 
City und der kalifornischen Stanford 
University hat Teile dieser komplexen 
Regulierung in der DNA-Sequenz von 
Mäusen entdeckt. Mäuse gelten als Mo- 
dellorganismus, dessen regulatorischen 
Konzepte den menschlichen ähneln. Ein 
speziell trainiertes neuronales Netzwerk 
spürte nun zuvor nicht verstandene Se- 
quenzen auf. 

Ziga Avsec, Doktorand im Team vom 
Professor Julien Gagneur in München, 
hat dafür in enger Zusammenarbeit mit 
Bioinformatikern aus Stanford ein neu- 
ronales Netzmodell entwickelt. Base Pair 
Network (BPNet) ist eine Variante der 
Convolutional Neural Networks, die vor 
allem Bilddaten analysieren. Neuronale 
Netze mit der BPNet-Technik verfolgen 
einen ähnlichen Bottom-up-Ansatz wie 
Systeme zur Gesichtserkennung. Diese 
erkennen Schicht für Schicht zunächst 
einfache Kanten und Linien, dann in 
höheren Schichten zusammenhängende 
Formen und schließlich komplexe Ge- 
sichter. Die Forscher entschieden sich, 
auf ähnliche Weise nach Motiven in den 
Basensequenzen der DNA zu suchen. Al- 
lein das Mäuse-Genom besteht aus 2,5 
Milliarden Basenpaaren, beim Menschen 
sind es fast 3,3 Milliarden. Entscheidend 
für deren Wirkung ist nicht nur die Se- 
quenz der entsprechenden vier Buch- 
staben (A, C, GundT für die beteiligten 
Basen Adenin, Cytosin, Guanin und Thy- 
min), sondern vor allem die räumliche 
Anordnung der Basenpaare in der Spirale 
der DNA-Doppelhelix. Die übersetzten 
die Forscher in einfache Pixelmuster. 

Gagneur erläutert: „Für diese Bildda- 


ten stand uns dann das ganze Arsenal 
der KlI-Bilderkenner zur Verfügung, 
um wiederkehrende Motive zu entde- 
cken.” Die gesuchten Motive sind Bin- 
dungsstellen für sogenannte Transkrip- 
tionsfaktoren (TF), Proteine, die die 
Aktivierung von Genen steuern. Ein TF 
findet sein Motiv, indem er dort exakt 
hineinpasst wie ein Schlüssel in sein 
Schloss. Das eingesetzte neuronale Netz 
umfasst, so Gagneur, elf Schichten und 
insgesamt nahezu 131.000 trainierbare 
Parameter. Diese Komplexität ermög- 
licht es Motive zu mehreren TF gleich- 
zeitig zu suchen, um nicht nur der Ver- 
teilung einzelner Fragmente, sondern 
zugleich ihrem Zusammenspiel und der 
übergeordneten Syntax auf die Spur zu 
kommen. Allerdings meldete die KI zu- 
nächst nur das Vorhandensein der ge- 
suchten Motive. Erst mit Methoden, die 
die Entscheidungswege der KI erklären, 
lässt sich, so Avsec, zeigen, an welchen 
Stellen der DNA die TF tatsächlich an- 
binden und wie diese Bindungsstellen 
konkret aussehen. 

Als Trainingsdaten dienten 100.000 
Abschnitte einer Mäuse-DNA mit jeweils 
etwa 1.000 Basenpaaren; insgesamt ein 
Datenvolumen von vier Gigabyte. Dar- 
in entdeckte die KI zu vier wichtigen TF 
neue Bindungsmotive. Man geht davon 
aus, dass im Mäuse-Genom noch wesent- 
lich mehr Steuerelemente wirken. Für 
die menschliche DNA rechnen Forscher 
mit etwa 1.500 TF. Unterm Strich ge- 
lang es die Funktion der untersuchten 
TF zu ermitteln, beispielsweise bei der 
Selbsterneuerung von Stammzellen, die 
zugehörigen Motive mit der Genschere 
zu manipulieren und dadurch die KI-Vor- 
hersagen experimentell zu bestätigen. 

Die neuen Erkenntnisse sollen in zwei- 
erlei Hinsicht auf den Menschen über- 
tragen werden: Zum einen erwarten die 
Wissenschaftler, dass sie Bindungsmoti- 
ve wiein der Mäuse-DNA auch in anderen 
Organismen finden, insbesondere beim 
Menschen. Zum anderen ist die einge- 
setzte Kl vielseitig und lässt sich auch für 
die Analyse menschlicher DNA trainieren. 
Diese Forschungsarbeiten laufen bereits. 
Künftig könnten die jüngst entdeckten 
Elemente der Genregulation helfen ver- 
erbbare Krankheiten besser zu verstehen 
und auch zu behandeln. Zudem ließen 
sich damit die Auswirkungen von Muta- 
tionen in einem Tumor einschätzen und 
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personalisierte Krebstherapien verbes- 
sern (Grävemeyer, Neuronale Netze ent- 
schlüsseln Code zur Genregulation, www. 
heise.de 21.03.2021, Kurzlink: https:// 
heise.de/-5074686). 


500 Mio. gescrapte 
LinkedIn-Profildaten zum 
Verkauf 


In einem populären Hackerforum wer- 
den 500 Mio. LinkedIn-Profildaten zum 
Verkauf angeboten. Als Beweis können 
Interessierte zwei Mio. Datensätze für 
eine minimale Gebühr von 2 US-Dollar 
erlangen. Es handelt sich um öffentlich 
von den LinkedIn-Nutzern publizier- 
te Daten wie Namen, E-Mail-Adressen, 
Telefonnummern und Arbeitgeber. Lin- 
kedIn untersuchte den Vorfall und be- 
zeichnete ihn als unerlaubtes Scraping 
von Mitgliederdaten. Die kompletten 
500 Mio. Profildaten können dann auf 
Anfrage für einen mindestens vierstel- 
ligen Preis erstanden werden. Sensible 
Daten wie Kennwörter, Kreditkarten- 
oder Bankinformationen gehören nach 
Ansicht der zum Beweis angebotenen 
Datensätze allerdings nicht dazu, da für 
die Datensammlung lediglich automa- 
tisierte Anfragen - sogenanntes „Scra- 
ping“ -in großem Stil genutzt wurden. 

Die angebotenen Mitgliederdaten 
umfassen LinkedIn-IDs, vollständige 
Namen, E-Mail-Adressen, Telefonnum- 
men, Geschlecht, Berufsbezeichnung 
und andere Job-bezogene Daten, Links 
zu LinkedIn-Profilen und Profilen in 
anderen sozialen Netzwerken. Dies sind 
alles von den LinkedIn-Nutzern selbst 
veröffentlichte Daten und für andere 
Linkedin-Anwender einsehbar. Aller- 
dings können sie für Phishing-Angriffe 
oder Brute-Force-Methoden zur Ermitt- 
lung von Kennwörtern genutzt werden. 

LinkedIn erklärte: „Dieses sogenann- 
te Scraping von Mitgliederdaten ver- 
stößt gegen die LinkedIn-Nutzungs- 
bedingungen und wir arbeiten ständig 
daran unsere Mitglieder und ihre Daten 
zu schützen.” Wenige Tage zuvor waren 
Daten hunderter Millionen Facebook- 
Nutzer im Netz in einem Forum für Cy- 
berkriminelle veröffentlicht worden 
(s.u.). Im Jahre 2012 waren bereits 
LinkedIn-Passwörter im Umlauf. In 
einschlägigen Internet-Foren kursier- 
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te eine Liste mit über 6 Mio. Passwort- 
Hashes, die von LinkedIn stammen. 
2016 wurde allerdings bekannt, dass 
das LinkedIn-Passwort-Leck desaströse 
Ausmaße angenommen hat, da nicht 
nur die damals veröffentlichten 6 Mio. 
Passwörter geklaut, sondern über 100 
Mio. im Untergrund gehandelt wurden. 

LinkedIn zählt nach eigenen Anga- 
ben derzeit fast 740 Mio. registrierte 
Nutzerinnen und Nutzer aus über 200 
Ländern. Ob die 500 Mio. jetzt ange- 
botenen Profildaten aktuell oder ein 
Resultat vorheriger Angriffe sind, ist 
noch unklar. Wer wissen will, ob sein 
LinkedIn-Profil betroffen ist, kann dies 
anhand einer Cybernews-Webseite und 
der bei LinkedIn hinterlegten E-Mail- 
Adresse überprüfen (Schräer, Linkedin: 
Daten von 500 Millionen Nutzern online 
zum Verkauf angeboten, www.heise.de 
09.04.2021, Kurzlink: https://heise. 
de/-6009560). 


Facebook-Daten erneut 
geleakt 


Vertrauliche Daten mit Telefonnum- 
mern, E-Mail-Adressen und anderen Da- 
ten von hunderten Millionen Facebook- 
Nutzern sind Ende März 2021in einem Fo- 
rum für Cyberkriminelle aufgetaucht. Sie 
stammen aus einem Leak im Jahr 2019. 
Die IT-Sicherheitsfirma Hudson Rock 
hatte die Daten von 533 Millionen Face- 
book-Nutzern im Netz entdeckt - fast ein 
Fünftel aller Facebook-Nutzenden. Allein 
in Deutschland sind wohl sechs Millionen 
Menschen betroffen. Eine Sprecherin von 
Facebook erklärte: „Das sind alte Daten, 
über die bereits 2019 berichtet wurde. 
Wir haben das Problem im August 2019 
entdeckt und behoben.” Facebook hat 
nach jüngsten Angaben 2,8 Milliarden 
Nutzer, die mindestens einmal im Monat 
aktiv sind. 

Die geleakten Daten umfassen den 
Facebook-Nutzernamen sowie den voll- 
ständigen Namen, die Telefonnummer, 
Geburtsdatum, Ort, biografische Anga- 
ben und in einigen Fällen auch die E- 
Mail-Adresse. Die Betroffenen stammen 
aus 106 Ländern und konnten anhand 
von Stichproben verifiziert werden. Be- 
troffen ist u.a. auch unter „Nutzernum- 
mer 4”: „Mark Zuckerberg: männlich: 
Palo Alto, Kalifornien“ mit Telefonnum- 


mer und Beziehungsstatus. Auch wenn 
einige Informationen inzwischen veral- 
tet sein dürften, enthält ein Datensatz 
dieser Größe dennoch genug aktuelles 
Material, um massenhaftes Phishing zu 
einer realen Gefahr werden zu lassen. 

2019 waren Telefonnummern von 420 
Millionen Nutzern im Netz aufgetaucht, 
nachdem eine Funktion zur Freundes- 
suche für den Datenabgriff missbraucht 
worden war. Nun wurden die Daten für 
jeden verfügbar und mit geringen Pro- 
grammierkenntnissen auswertbar. Die 
Telefonnummern waren zwar nicht offen 
sichtbar, konnten jedoch über automa- 
tisierte Anfragen - sogenanntes „Scra- 
ping“ - in großem Stil abgerufen werden. 
Das verstieß gegen die Facebook-Regeln, 
war aber technisch möglich, bis das 
Online-Netzwerk die Funktion schließ- 
lich abschaltete. Sind solche Daten erst 
einmal im Umlauf, kann ihre Verbrei- 
tung im Netz kaum noch gestoppt wer- 
den. Scraping wurde für Facebook im- 
mer wieder zum Problem. So musste das 
Online-Netzwerk 2018 einräumen, dass 
vermutlich alle öffentlich zugänglichen 
Daten der damals bereits mehr als zwei 
Milliarden Nutzenden durch automati- 
sche Abrufe systematisch eingesammelt 
wurden. Die Zugriffe hatte Facebooks 
Entwickler-API gestattet, bis das Unter- 
nehmen diese Möglichkeit 2018 im Zuge 
des Cambridge-Analytica-Skandals un- 
terband. Auch Hunderttausende deut- 
sche Facebook-Nutzer waren betroffen. 
Allerdings gab es auch danach noch Lü- 
cken bei der Zugriffsbeschränkung, die 
sich einige Entwickler zunutze machten. 

Später gab es Datenschutz-Debatten 
um die Firma Clearview AI, die öffentlich 
sichtbare Bilder unter anderem von Face- 
books Foto-Plattform Instagram sammel- 
te und auf dieser Basis eine Datenbank 
zur Gesichtserkennung zusammenstell- 
te. Unter den Kunden von Clearview AI 
sind unter anderem US-Polizeibehörden 
(DANA 1/2020, 68; 2/2020, 125). 

Die bekannte Leak-Website haveibe- 
enpwned hat die Daten des Facebook- 
Lecks durchforstet und gut 2,5 Millio- 
nen Datensätze übernommen, in denen 
eine E-Mail-Adresse enthalten ist. Auf 
dieser Website können Benutzer anhand 
ihrer E-Mail-Adresse prüfen, ob ihre Da- 
ten in einem bekannt gewordenen Leak 
enthalten sind. Auch ein Freddy Greve 
hat sich ebenfalls mit diesem Leak be- 
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schäftigt und eigens eine Website ein- 
gerichtet, auf der Facebook-Nutzende 
prüfen können, ob ihr Nutzerkonto von 
dem Leck betroffen ist. Nach eigener 
Aussage hat Freddy Greve sämtliche Da- 
ten für Deutschland, Österreich und die 
Schweiz aus dem Leak eingepflegt - wei- 
tere Länder sollen folgen. Ist das eige- 
ne Facebook-Profil betroffen, zeigt die 
Website außerdem zu diesem Account 
die letzten fünf Ziffern der geleakten 
Mobilfunknummer an (Wittenhorst, Da- 
ten hunderter Millionen Facebook-Nut- 
zer erneut im Netz entdeckt, wwwr.heise. 
de 04.04.2021, Kurzlink: https://heise. 
de/-6005192, Brühl, Großes Datenleck 
bei Facebook, Zu wenig Schutz privater 
Daten, Daten von 533 Millionen Face- 
book-Nutzern geleakt, SZ 06.04.2021, 
1,4, 15). 


Amazons Alexa-Apps mit 
Datenschutzproblemen 


In einer Studie aus der North Caroli- 
na State University/USA wird eine Reihe 
von Datenschutzproblemen in Bezug auf 
die Apps dargestellt, mit denen Benutzer 
interagieren, wenn sie den Sprachassis- 
tenten von Amazon „Alexa“ verwenden. 
Diese reichen von irreführenden Daten- 
schutzrichtlinien bis hin zur Möglichkeit 
Dritter den Code ihrer Apps nach der Ge- 
nehmigung durch Amazon zu ändern. 

Anupam Das, Co-Autor des Artikels 
und Assistenzprofessor für Informatik, 
erläuterte: „Wenn Leute Alexa verwen- 
den, um Spiele zu spielen oder nach In- 
formationen zu suchen, denken sie oft, 
dass sie nur mit Amazon zu tun haben. 
Viele der Anwendungen, mit denen sie 
interagieren, wurden jedoch von Dritten 
erstellt, und wir haben im aktuellen Un- 
tersuchungsprozess mehrere Fehler fest- 
gestellt, die es Dritten ermöglichen, auf 
die persönlichen oder privaten Informa- 
tionen der Benutzer zuzugreifen.” 

Die Probleme sind die auf Alexa ver- 
wendeten Apps, mit denen Benutzer 
alles tun können, vom Musikhören bis 
zum Einkaufen. Diese Anwendungen, 
die in etwa den Anwendungen aufeinem 
Smartphone entsprechen, werden als 
Fertigkeiten (oder Fähigkeiten) bezeich- 
net. Amazon verkauft mindestens 100 
Millionen Alexa-Geräte (möglicherweise 
doppelt so viel). Mehr als 100.000 Fer- 
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tigkeiten stehen für Benutzer zur Aus- 
wahl. Da die meisten dieser Fertigkeiten 
von Drittentwicklern entwickelt werden 
und Alexa in Privathaushalten verwen- 
det wird, wollten die Forscher mehr über 
potenzielle Sicherheit und Datenschutz 
erfahren. 

Zu diesem Zweck verwendeten die 
Forscher ein automatisiertes Programm, 
um 90.194 einzigartige Fertigkeiten 
in sieben verschiedenen Fertigkei- 
tengeschäften zu sammeln. Das For- 
schungsteam entwickelte außerdem 
einen automatisierten Überprüfungs- 
prozess, der eine detaillierte Analyse 
jeder Fertigkeit bietet. Ein Problem, das 
die Forscher bemerkten, war, dass die 
Skill Stores den Entwickler anzeigen, 
der für die Veröffentlichung der Skill 
verantwortlich ist. Amazon überprüft 
nicht, ob der Name korrekt ist. Mit an- 
deren Worten, ein Entwickler kann be- 
haupten, jeder zu sein. Dies würde es 
einem Angreifer erleichtern sich unter 
dem Namen einer vertrauenswürdigeren 
Organisation zu registrieren. Dies kann 
wiederum dazu führen, dass Benutzer 
glauben, dass die Fertigkeit von der 
vertrauenswürdigen Organisation ver- 
öffentlicht wird, was Phishing-Angriffe 
ermöglicht. 

Die Forscher fanden auch heraus, dass 
Amazon mehreren Fertigkeiten erlaubt, 
dieselbe Rufphrase zu verwenden, so 
Das: „Dies ist problematisch, denn wenn 
Sie glauben eine Fertigkeit zu aktivie- 
ren, aber eine andere aktivieren, be- 
steht das Risiko, dass Sie Informationen 
an einen Entwickler weitergeben, an 
den Sie keine Informationen weiterge- 
ben wollten. Für einige Fähigkeiten ist 
beispielsweise ein Link zu einem Konto 
eines Drittanbieters erforderlich, z.B. 
zu einem E-Mail-, Bank- oder Social- 
Media-Konto. Dies kann ein erhebliches 
Datenschutz- oder Sicherheitsrisiko für 
Benutzer darstellen.” 

Darüber hinaus zeigten die Forscher, 
dass Entwickler den Code von Skills (im 
Amazon-Backend) ändern können, 
nachdem die Skills in den Läden platziert 
wurden. Die Forscher veröffentlichten 
speziell eine Fertigkeit und änderten 
den Code, um zusätzliche Informationen 
von Benutzern anzufordern, nachdem 
die Fertigkeit von Amazon genehmigt 
worden war. Das: „Wir haben uns nicht 
auf böswilliges Verhalten eingelassen, 


aber unsere Demonstration zeigt, dass es 
nicht genügend Kontrollen gibt, um zu 
verhindern, dass diese Sicherheitsanfäl- 
ligkeit missbraucht wird.” 

Amazon verfügt über bestimmte Da- 
tenschutzbestimmungen, einschließlich 
expliziter Anforderungen in Bezug auf 
acht Arten personenbezogener Daten, 
u.a. Standortdaten, vollständiger Namen 
und Telefonnummern. Eine der Anforde- 
rungen ist, dass Fähigkeiten, die diese 
Daten anfordern, eine Datenschutz- 
richtlinie haben, die offen legt und er- 
klärt, warum die Fähigkeit diese Daten 
wünscht und wie die Fähigkeit die Daten 
verwendet. Die Forscher stellten jedoch 
fest, dass 23,3% der 1.146 Fähigkeiten, 
die den Zugriff auf datenschutzrele- 
vante Daten beantragten, keine Daten- 
schutzrichtlinien hatten oder dass ihre 
Datenschutzrichtlinien irreführend oder 
unvollständig waren. Einige haben bei- 
spielsweise private Informationen ange- 
fordert, obwohl ihre Datenschutzricht- 
linie behauptet, dass sie keine privaten 
Informationen anfordern. 

Die Forscher geben auch unterschied- 
liche Empfehlungen, wie Alexa sicherer 
gemacht und Benutzer in die Lage ver- 
setzt werden können, fundiertere Ent- 
scheidungen über ihre Privatsphäre zu 
treffen. Die Forscher ermutigen Amazon 
beispielsweise die Identität von Skill- 
Entwicklern zu überprüfen und visuelle 
oder akustische Hinweise zu verwenden, 
um Benutzer darüber zu informieren, 
wenn sie Skills verwenden, die nicht von 
Amazon selbst entwickelt wurden. 

Forscher Das: „Diese Studie ist nicht 
lang genug, um über alle Probleme oder 
Empfehlungen zu sprechen, die wir in 
dem Papier dargelegt haben. In diesem 
Bereich gibt es viel Raum für zukünf- 
tige Arbeiten. Zum Beispiel sind wir an 
den Erwartungen der Benutzer in Bezug 
auf Systemsicherheit und Datenschutz 
im Umgang mit Alexa interessiert.” Das 
Papier „Hallo Alexa, ist diese Fähigkeit 
sicher? Sehen Sie sich das Alexa-Fähig- 
keits-Ökosystem genauer an“ wurde auf 
dem Network and Distributed Systems 
Security Symposium 2021 vom 21. bis 
24. Februar vorgestellt. Der Erstautor des 
Artikels ist Christopher Lentzsch von der 
Ruhr-Universität Bochum (Müller, Studie 
zeigt das Ausmaß von Datenschutzprob- 
lemen mit Amazon Alexa, kulturpoebel. 
de 07.03.2021). 
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Rechtsprechung 


EuGH 


Auch estnische Vorrats- 
datenspeicherung grund- 
rechtswidrig 


Der Europäische Gerichtshof (EuGH) 
hat auf Vorlage des estnischen Obersten 
Gerichtshofs, dem Riigikohus, mit Ur- 
teil vom 02.03.2021 entschieden, dass 
die Vorgaben zur Vorratsdatenspeiche- 
rung in Estland im Zusammenhang mit 
der dortigen Strafprozessordnung und 
einem Gesetz über die Staatsanwalt- 
schaft gegen die in der EU verbrieften 
Grundrechte und die E-Privacy-Richtli- 
nie verstoßen (Az.: C-746/18). 

In Estland hatte ein Gericht eine Per- 
son wegen Diebstahls, Einsatz der Bank- 
karte eines Dritten und Gewalttaten ge- 
genüber Beteiligten des Strafverfahrens 
zu zwei Jahren Gefängnis verurteilt. Die 
Staatsanwaltschaft hatte ihre Beweis- 
führung unter anderem durch Zugriffe 
auf Verbindungs- und Standortdaten 
der Verdächtigen gestützt. Nachdem die 
Berufungsinstanz die Entscheidung be- 
stätigt hatte, wandte sich die Betroffene 
an den Riigikohus. Der hegte Zweifel an 
der Vereinbarkeit der Voraussetzungen, 
auf deren Basis die Ermittler Zugang zu 
den auf Vorrat gespeicherten Daten hat- 
ten, mit dem EU-Recht. 

Gemäß dem Urteil des EuGH erlaubt 
die Datenschutzrichtlinie für die elek- 
tronische Kommunikation Staatsbe- 
diensteten prinzipiell den Erhalt von 
Verkehrsdaten zur „Verhütung, Er- 
mittlung, Feststellung und Verfolgung 
von Straftaten Zugang zu den von den 
Betreibern elektronischer Kommuni- 
kationsdienste gespeicherten”. Dabei 
sei der Eingriff in das Recht auf Privat- 
heit der Betroffenen aber „in jedem Fall 
schwerwiegend“”, solange Ermittler „ge- 
naue Schlüsse auf das Privatleben” der 
Überwachten ziehen können. 

Die damit verknüpfte besondere Tiefe 
des Grundrechtseingriffs ist unabhän- 
gig von der Länge des Zeitraums, für 
den der Zugang zu den genannten Da- 
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ten begehrt wird, und von der Menge 
oder Art der verfügbaren Informatio- 
nen. Ein Zugriff darauf müsse sich da- 
her im Einklang mit dem Grundsatz der 
Verhältnismäßigkeit „auf Verfahren zur 
Bekämpfung schwerer Kriminalität oder 
zur Verhütung ernster Bedrohungen der 
öffentlichen Sicherheit beschränken“. 

Eine ermittelnde und anklagende 
Staatsanwaltschaft ist gemäß der Ent- 
scheidung nicht in der Lage zu kont- 
rollieren, ob die Voraussetzungen und 
Garantien für einen verhältnismäßigen 
Zugang zu den einschlägigen Daten in- 
klusive eines wirksamen Schutzes vor 
Missbrauchsrisiken eingehalten wer- 
den. Diese Aufgabe könne nur ein Ge- 
richt oder eine vergleichbare unabhän- 
gige Stelle erfüllen. Auf die Staatsan- 
waltschaft, die in Estland das Verfahren 
leitete und die öffentliche Klage vertrat, 
treffe dies nicht zu. 

Ob sich aus einer unzulässigen Da- 
tenbeschaffung ein Beweisverwer- 
tungsverbot ergibt, hat der EuGH dem 
vorlegenden Gericht zur Entscheidung 
überlassen, wobei das Recht auf ein fai- 
res Verfahren zu beachten ist. Relevant 
sei danach, ob die Beschuldigten „in der 
Lage sind sachgerecht zu den Informa- 
tionen und Beweisen Stellung zu neh- 
men, die einem Bereich entstammen, in 
dem das Gericht nicht über Sachkennt- 
nis verfügt, und geeignet sind die Wür- 
digung der Tatsachen maßgeblich zu 
beeinflussen“. 

Die Luxemburger Richter unterstri- 
chen erneut, dass die E-Privacy-Richt- 
linie Rechtsvorschriften entgegensteht, 
die den Betreibern elektronischer Kom- 
munikationsdienste „präventiv eine 
allgemeine und unterschiedslose” Vor- 
ratsdatenspeicherung vorschreiben. 
Schon mehrfach hatte der EuGH zuvor 
umfassende, prinzipielle Vorgaben zum 
Aufbewahren der Telekommunikations- 
daten auf Vorrat als unverhältnismäßig 
zurückgewiesen. In vier Fällen hielt das 
Gericht im Oktober 2020 aber Ausnah- 
men für möglich, wenn sich der betref- 
fende Mitgliedstaat einer ernsthaften 
Bedrohung seiner nationalen Sicherheit 


gegenübersieht. Es stehe den EU-Län- 
dern zudem offen „eine allgemeine und 
unterschiedslose Vorratsspeicherung 
von IP-Adressen vorzunehmen”. Beiden 
Internetkennungen seien die Grund- 
rechtseingriffe weniger tief als etwa 
bei Standortdaten, aus denen sich Be- 
wegungsprofile ableiten lassen (DANA 
4/2020, 263 ff.). 

Die Innenminister von Bund und Län- 
dern forderten die Bundesregierung 
im Dezember 2020 auf „rechtssichere 
Handlungsmöglichkeiten” für das Pro- 
tokollieren von Nutzerspuren auszuma- 
chen. Das deutsche Gesetz zur mehr- 
wöchigen Vorratsdatenspeicherung 
ist aufgrund von Entscheidungen von 
Verwaltungsgerichten weiterhin ausge- 
setzt. Es wird vom Bundesverfassungs- 
gericht und dem EuGH überprüft. Der 
Wissenschaftliche Dienst des Bundes- 
tags geht davon aus, dass die Vorgaben 
nicht zu halten sind. 

Auch die portugiesische Präsident- 
schaft des EU-Ministerrats hat die Vor- 
ratsdatenspeicherung wieder auf die 
Agenda gesetzt. Laut einem von der 
Bürgerrechtsorganisation Statewatch 
veröffentlichten, als vertraulich ein- 
gestuften Papier will die Ratsführung 
mit einer Umfrage an die Delegationen 
der Mitgliedsstaaten erkunden, welche 
Möglichkeiten diese vor allem für ein 
„selektives/gezieltes” Sammeln insbe- 
sondere von IP-Adressen und Bestands- 
daten von Nutzern sehen. Die Fragen 
gehen ins Detail, beziehen sich etwa 
auf Internetkennungen beim Ein- und 
Ausloggen sowie zu einem bestimmten 
Zeitpunkt einer Sitzung, den Einbezug 
auch von Zieladressen, statischen IP- 
Adressen sowie Portnummern. Ein Mei- 
nungsbild verschaffen wollen sich die 
Portugiesen zudem etwa darüber, ob 
„Over the Top“-Anbieter wie WhatsApp, 
Signal oder Skype einbezogen werden 
sollten. Darlegen sollen die EU-Länder, 
was sie als eine „angemessene“ Spei- 
cherfrist erachten. Der Rat hatte zu- 
nächst auf eine Studie der Kommission 
zur Vorratsdatenspeicherung gedrängt. 
Mit deren Ergebnis, wonach kein drin- 
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gender Handlungsbedarf besteht, ist 
er offenbar nicht zufrieden (Krempl, 
EuGH: Vorratsdatenspeicherung in Est- 
land ist nicht mit EU-Recht vereinbar, 
www.heise.de 02.03.2021, Kurzlink: 
https://heise.de/-5069861). 


Belgisches Verfassungsgericht 


Gesetz zur TK-Vorratsda- 
tenspeicherung wieder auf- 
gehoben 


Das belgische Verfassungsgericht hat 
am 22.04.2021 geurteilt, dass auch das 
2016 verabschiedete zweite Gesetz zur 
einjährigen anlasslosen Vorratsspeiche- 
rung von Verbindungs- und Standortda- 
ten im Bereich der Telekommunikation 
(TK) rechtswidrig ist, und hat damit die 
entsprechenden Bestimmungen auf- 
gehoben (GVzNrn. 6590, 6597, 6599, 
6601). 

Bereits 2015 hatte das Verfassungs- 
gericht die erste Fassung des Gesetzes 
gekippt, weil die Vorschriften unver- 
hältnismäßig und die Schutzfunktionen 
nicht ausreichend seien. Das belgische 
Parlament hatte daraufhin einige Kor- 
rekturen eingefügt, im Kern aber an der 
Vorratsdatenspeicherung festgehalten. 
Das Gericht stellte nun fest, dass auch 
das neue Gesetz nicht mit dem EU-Recht 
vereinbar ist: „Die Pflicht zur Speiche- 
rung von Daten über die elektronische 
Kommunikation muss die Ausnahme 
sein und nicht die Regel.” Eine solche 
Regelung sei allenfalls statthaft, wenn 
sie klaren Regeln hinsichtlich der Aus- 
wirkung und der Anwendung unterliege 
sowie Mindesterfordernisse aufstelle. 
Es sei zu gewährleisten, dass sich der 
Eingriff in die Grundrechte „auf das ab- 
solut Notwendige beschränkt” und stets 
objektiven Kriterien genüge, „die einen 
Zusammenhang zwischen den zu spei- 
chernden Daten und dem verfolgten Ziel 
herstellen“. 

Die belgischen Verfassungshüter ori- 
entieren sich dabei an den jüngsten 
Urteilen des Europäischen Gerichtshofs 
(EuGH) zu den nationalen Gesetzen zur 
Vorratsdatenspeicherung in Belgien, 
Frankreich und Großbritannien. Der 
EuGH hielt damit prinzipiell an seiner 
Linie fest, wonach umfassende, prinzi- 
pielle Vorgaben zum flächendeckenden 
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Aufbewahren der Telekommunikations- 
daten auf Vorrat als unverhältnismäßig 
gelten (DANA 4/2020, 263 ff.). Ausnah- 
men hielten die Luxemburger Richter 
für möglich, wenn sich ein Mitgliedstaat 
einer ernsthaften Bedrohung seiner na- 
tionalen Sicherheit gegenübersieht, die 
sich als tatsächlich und gegenwärtig 
oder vorhersehbar erweist. Dies könnte 
etwa bei Terrorangriffen der Fall sein. 
Den Beschlüssen zufolge steht es einem 
Mitgliedstaat auch offen unter strengen 
Auflagen „eine allgemeine und unter- 
schiedslose Vorratsspeicherung von IP- 
Adressen vorzunehmen“. 

Die Verfassungsrichter in Belgien 
kommen zu dem Schluss, dass das na- 
tionale Gesetz nicht einer der vom Ge- 
richtshof beschriebenen Ausnahmen 
entspricht: „Es ist Sache des Gesetzge- 
bers, Regelungen zu treffen, bei denen 
die in diesem Bereich geltenden Grund- 
sätze im Lichte der Klarstellungen des 
Gerichtshofs beachtet werden.” Bis da- 
hin müsse das jeweils zuständige Straf- 
gericht gegebenenfalls über die Zuläs- 
sigkeit von Beweisen entscheiden, die 
nach den aufgehobenen Bestimmungen 
erhoben wurden. 

Geklagt gegen die überarbeiteten 
Vorschriften hatten erneut unter ande- 
rem Belgiens Liga für Menschenrechte 
und die deutsch-französischsprachige 
Anwaltskammer Avocats.be. Das Gesetz 
war vor allem kritisiert worden, da es die 
Verwendung von auf Vorrat gespeicher- 
ten Daten zur Verfolgung von Strafta- 
ten erlaubte, „die mit einer einjährigen 
Haftstrafe geahndet werden können”. 
Dies hätte auf schwere Verbrechen und 
ernsthafte Bedrohungen der öffent- 
lichen Sicherheit eingeschränkt sein 
müssen. 

Avocats.be erinnerte den Gesetzgeber 
zudem an die vom EuGH betonte Gefahr, 
dass Berufsgeheimnisträger wie Rechts- 
anwälte, Ärzte, Abgeordnete oder Jour- 
nalisten von der umstrittenen Form der 
Massenüberwachung in Belgien nicht 
ausgeschlossen worden seien. Damit 
könnten die Interessen etwa von Pati- 
enten oder Mandanten verletzt werden. 
Das belgische Justizministerium erklär- 
te demnach bereits, dass es an einem er- 
neuten „Reparaturgesetz” arbeite. 

In Frankreich hatte in der Woche zu- 
vor der Conseil d’Etat (Staatsrat) das 
dortige Gesetz zur Vorratsdatenspeiche- 


rung zwar prinzipiell für rechtswidrig 
erklärt, aber schon gleich Hintertüren 
offen gelassen etwa zum Datensammeln 
für den Zweck der nationalen Sicher- 
heit. Der Staatsrat genehmigte Strafver- 
folgern auch, auf die von Geheimdiens- 
ten gespeicherten Verbindungs- und 
Ortsinformationen zuzugreifen (Krem- 
pl, Belgisches Verfassungsgericht kippt 
Vorratsdatenspeicherung erneut, www. 
heise.de 27.04.2021, Kurzlink: https:// 
heise.de/-2689182). 


Conseil d “Etat (Frankreich) 


Gericht akzeptiert Gesund- 
heitsdaten-Hosting bei 
Amazon Web Services 


Mit Beschluss vom 12.03.2021 stell- 
te das oberste Gericht Frankreichs, der 
Conseil d‘Etat, in einem vorläufigen 
Rechtsschutzverfahren fest, dass eine 
Auftragsverarbeitung für die Termin- 
vergabe für Coronaimpfungen durch 
Doctolib mit der Fa. AWS Sarlin Luxem- 
burg stattfinden kann. Mit Anträgen 
seit dem 26.02.2021 hatten medizini- 
sche und Bürgerrechts-Organisationen 
eine einstweilige Anordnung gegen 
das französische Gesundheitsministeri- 
um beantragt. Diesem sollte untersagt 
werden die Dienste der Fa. Doctolib bei 
der Durchführung des französischen 
Covid-19-Impfprogramms in Anspruch 
zu nehmen. Antragsteller waren folgen- 
de Verbände bzw. Personen: Associati- 
on InterHop, Association Constances, 
Association Actions Traitement, Asso- 
ciation les Actupiennes, Association 
Actup sante sud ouest, Syndicat de la 
Medecine generale(SMG), Union fran- 
caise pour une me&decine libre (UFML), 
Syndicat national des jeunes m&decins 
generalistes (SNJMG), Federation des 
medecins de France (FMF), mehrere Ein- 
zelpersonen als Nutzender des Conseil 
de surveillance de [’AP-HP, Federation 
SUD sante sociaux und Ligue des droits 
del’ Homme. Ihren Antrag begründeten 
die Antragsteller damit, dass Doctolib 
Amazon Web Services (AWS) als Hoster 
nutzt und dadurch der Schutz der bei 
der Impfaktion erfassten Gesundheits- 
daten nicht gewährleistet sei. Durch die 
Datenverarbeitung bei AWS hätten US- 
amerikanische Behörden gesetzlichen 
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Zugriff auf die sensitiven Impfdaten. 
Hierin läge ein Verstoß gegen die auch 
in Frankreich geltende DSGVO. 

Der Conseil d‘Etat stellte fest, dass 
die Auftragsverarbeitung für Docto- 
lib mit der Fa. AWS Sarl, die ihren Sitz 
in Luxemburg hat, erfolgt, eine Toch- 
ter der US-amerikanischen Amazon 
Web Services Inc. Die Speicherung der 
im Auftrag verarbeiteten Daten erfol- 
ge in Frankreich und in Deutschland. 
Ein Datentransfer in die USA sei durch 
den Vertrag zwischen AWS und Docto- 
lib nicht vorgesehen. Er bestätigt, dass 
eine Tochter von AWS auf der Grundla- 
ge von US-amerikanischen Regelungen 
(FISA, Executive Order 12333) ver- 
pflichtet werden kann, verarbeitete Da- 
ten herauszugeben. 

Dies sei jedoch kein Grund, eine 
einstweilige Anordnung wegen der Ter- 
minvereinbarungen durch Doctolib zu 
erlassen. Hiervon erfasst würden keine 
„Gesundheitsdaten zu den möglichen 
medizinischen Gründen für eine Impf- 
berechtigung“, sondern nur Daten zur 
Identifizierung der Betroffenen und zu 
Terminen und den Umstand der - al- 
tersunabhängigen - Impfberechtigung. 
Die Daten würden drei Monate nach dem 
Impftermin gelöscht. Die Daten sei- 
en bei AWS verschlüsselt gespeichert, 
wobei der Schlüssel in der Verfügungs- 
macht eines Treuhänders läge. Zudem 
bestehe die Möglichkeit für jeden Be- 
troffenen durch Löschung seines Kontos 
seine Daten zu löschen. Angesichts die- 
ser Garantien und der Sensitivität der 
Daten könne das Schutzniveau nicht als 
offensichtlich unangemessen bewertet 
werden (The urgent applications judge 
does not suspend the partnership bet- 
ween the Ministry of Health and Doc- 
tolib for the management of COVID-19 
vaccination appointments, 12.03.2021, 
https://www.conseil-etat.fr). 


BVerfG 


Elektronische Fußfessel 
grundsätzlich verfassungs- 
konform 


Das Bundesverfassungsgericht 
(BVerfG) hat mit Beschluss vom 
01.12.2020 entschieden, dass der Ein- 
satz elektronischer Fußfesseln bei aus 
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der Haft entlassenen Straftätern mit 
Rückfallrisiko mit dem Grundgesetz ver- 
einbarist (2 BvR 916/11, 2 BvR 636/112). 
Gemäß dem Zweiten Senat liegtin der so- 
genannten elektronischen Aufenthalts- 
überwachung (elektronische Fußfessel) 
zwar ein „tiefgreifender Grundrechtsein- 
griffinsbesondere in das Recht auf infor- 
mationelle Selbstbestimmung und das 
allgemeine Persönlichkeitsrecht”. Dieser 
Grundrechtseingriff sei aufgrund des Ge- 
wichts der geschützten Belange aber zu- 
mutbar und stehe nicht außer Verhältnis 
zu dem Gewicht der Rechtsgüter, wenn es 
um den Schutz vor „Straftaten gegen das 
Leben, die körperliche Unversehrtheit, 
die persönliche Freiheit oder die sexuelle 
Selbstbestimmung und Straftaten gegen 
die öffentliche Ordnung” geht. Entschei- 
dendist, dass die Fußfessel nur angeord- 
net werden darf, wenn eine hinreichende 
Gefahr besteht, dass der Verurteilte wei- 
tere schwere Straftaten begeht. 

Mit Verfassungsbeschwerden geklagt 
hatten zwei Männer, die von Gerichten 
in Rostock zum Tragen einer Fußfessel 
verpflichtet worden waren. Einer der 
Kläger war mehrfach wegen Vergewalti- 
gung verurteilt worden. Der zweite hat- 
te 1990 eine Frau ermordet und in Haft 
mehrfach mit Gewalt rebelliert. Wegen 
fortbestehender Gefährlichkeit wurde 
ihm bei seiner Entlassung 2011 eine 
Fußfessel angelegt. Die beiden Kläger 
hatten infrage gestellt, ob eine solche 
Maßnahme überhaupt mit dem Grund- 
gesetz vereinbar ist. 

Seit 2011 können Straftäter nach der 
Haft mit einer elektronischen Fußfes- 
selrund um die Uhr überwacht werden. 
Einmal angelegt, lässt sich die Fessel 
von den Trägern nicht mehr öffnen. 
Über ein Satellitensignal ist ihr Auf- 
enthaltsort jederzeit bestimmbar. Auf 
die Daten darf aber nur dann zugegrif- 
fen werden, wenn in der „Gemeinsamen 
elektronischen Überwachungsstelle der 
Länder” (GÜL) in Hessen Alarm ausge- 
löst wird. Dort sind die Bewegungen 
der Träger auf einer Karte zu sehen. Bei 
einem Alarm wird bei dem Betroffenen 
angerufen, um zu prüfen, ob ein Fehler 
vorliegt - etwa ob der Akku der Fessel 
schwach ist. 

Die Einführung der elektronischen 
Fußfessel hängt mit einer Entscheidung 
des Europäischen Gerichtshofs für Men- 
schenrechte (EGMR) von 2009 zusam- 


men. Der EGMR hatte geurteilt, dass die 
Sicherungsverwahrung in bestimmten 
Fällen gegen die Europäische Men- 
schenrechtskonvention verstieß. Das 
BVerfG entschied nun dazu: „Das Urteil 
hatte zur Folge, dass Personen mit ne- 
gativer Rückfallprognose in die Freiheit 
entlassen und sodann teilweise rund um 
die Uhr polizeilich überwacht wurden.” 
Die Fußfessel sollte solche Überwa- 
chungsmaßnahmen ersetzen. 

Die Straftäter, dienun geklagt hatten, 
waren nach langjährigen Freiheitsstra- 
fen aus der Haft entlassen und polizei- 
lich beobachtet worden. Dann war ih- 
nen stattdessen die „elektronische Fuß- 
fessel” angelegt worden. Ein zentraler 
Punkt in dem ausführlichen Beschluss 
des BVerfG ist die Frage, ob eine Da- 
tenüberwachung mit der Fußfessel ge- 
gen die Menschenwürde verstößt - das 
höchste Gut der Verfassung. Sie garan- 
tiert einen absolut geschützten „Kern- 
bereich privater Lebensgestaltung”. In 
diesen Kernbereich dringt die Fußfessel 
aus Sicht des BVerfG nicht ein. Sie dient 
lediglich dazu, jederzeit den Aufent- 
haltsort des Betroffenen festzustellen: 
„in welcher Weise er sich an diesem Ort 
betätigt, ist nicht Gegenstand der Über- 
wachung, da sein Handeln weder opti- 
scher noch akustischer Kontrolle unter- 
liegt.” Innerhalb der Wohnung sei eine 
genaue Ortung ausdrücklich untersagt. 

Es findet also keine „Rundum-Über- 
wachung” statt und es wird kein lücken- 
loses Persönlichkeitsprofil erstellt, das 
den Menschen bis in den letzten Winkel 
seiner Existenz ausleuchtet. Mit dieser 
Feststellung steckt der Senat zugleich 
die Grenzen künftiger technologischer 
Möglichkeiten ab: Ein Überwachungs- 
tool, das neben GPS-Daten gleich noch 
rund um die Uhr Bilder oder Töne mit- 
lieferte, wäre voraussichtlich verfas- 
sungswidrig, selbst bei Überwachung 
besonders gefährlicher Straftäter. Die 
Verhältnismäßigkeit sei gegeben, wenn 
eine echte und erhebliche Gefahr un- 
terbunden werden soll. Auch das Gebot 
der Resozialisierung sei nicht verletzt, 
weil mit dem leicht zu verbergenden 
Fußband niemand „sichtbar gebrand- 
markt” werde. Deshalb könne man nicht 
von einer Stigmatisierung sprechen. Die 
Wiedereingliederung in die Gesellschaft 
werde dadurch „nicht wesentlich er- 
schwert”. 
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Seit 2017 können auch extremisti- 
sche Täter überwacht werden. Außer- 
dem darf das Bundeskriminalamt die 
Fußfessel bei sogenannten Gefährdern 
einsetzen, um Terroranschläge zu ver- 
hindern. Und auch die Polizeigesetze 
einiger Länder sehen einen solchen vor- 
sorglichen Einsatz vor. In der aktuellen 
Entscheidung aus Karlsruhe geht es um 
den Einsatz bei Straftätern, die aus der 
Haft entlassen wurden. Einer Studie des 
hessischen Justizministeriums zufol- 
ge war die elektronische Fußfessel im 
Frühjahr 2020 deutschlandweit bei 122 
Personen im Einsatz. Seit der Einfüh- 
rung der Maßnahme wurden mit ihr 269 
Menschen überwacht. (Bundesverfas- 
sungsgericht: Elektronische Fußfesseln 
verstoßen nicht gegen das Grundgesetz, 
www.sueddeutsche.de 04.02.2021; Ja- 
nisch, Bindendes Recht, SZ 05.02.2021, 
6). 


BGH 


beA benötigt keine Ende- 
zu-Ende-Verschlüsselung 


Der Bundesgerichtshof (BGH) folgt 
mit Urteil vom 22.03.2021 nicht der 
Ansicht von klagenden Anwälten, dass 
beim besonderen elektronischen An- 
waltspostfach (beA) durchgehende 
Ende-zu-Ende-Verschlüsselt nötig sei 
(Az. AnwZ (Brfg) 2/20). Damit bestä- 
tigte der BGH ein Urteil des Berliner An- 
waltsgerichtshofs von 2019, wonach der 
Bundesrechtsanwaltskammer (BRAK) 
ein Spielraum zugestanden wird, solan- 
ge prinzipiell eine „sichere Kommunika- 
tion” gewährleistet ist. 

Stein des Anstoßes in dem Fall ist die 
Besonderheit bei dem Anwaltspostfach, 
dass sich die darüber laufende Kommu- 
nikation unterwegs auf einem BRAK- 
Server mit einem Hardware-Sicherheits- 
modul (HSM) „umschlüsseln“ lässt. 
Damit wird die durchgehende Vertrau- 
lichkeitskette durchbrochen: Mit der 
Option zum zeitweiligen Ent- und späte- 
ren Wiederverschlüsseln ist ein Zugriff 
auf sensible Nachrichten innerhalb des 
HSM zumindest technisch prinzipiell 
möglich. Mehrere zugelassene Rechts- 
anwälte hatten zusammen mit der Ge- 
sellschaft für Freiheitsrechte (GFF) ge- 
gen diesen Ansatz geklagt. Sie drängten 
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auf größere Sicherheit mithilfe einer 
durchgehenden Verschlüsselung. Die 
Karlsruher Richter erkannten zwar an, 
dass das beA nicht die Voraussetzungen 
einer Ende-zu-Ende-Verschlüsselung 
erfüllt. Das ändere aber nichts daran, 
dass die Nachrichten selbst zumindest 
während der Übertragung durchgehend 
verschlüsselt seien. 

Es gebe keinen Anspruch auf eine 
noch weitergehende Sicherheitslö- 
sung, da die zuständige Verordnung 
nicht ausschließlich eine Ende-zu-En- 
de-Verschlüsselung vorschreibe. Es sei 
davon auszugehen, dass die gewählte 
Methode eine hinreichende Sicherheit 
gewährleisten kann. Die gesetzlichen 
Vorschriften seien mit einem zwei- 
stufigen Sicherheitscontainer erfüllt. 
Die BRAK muss die elektronischen 
Anwaltspostfächer laut der entspre- 
chenden Verordnung auf Grundlage 
des Protokollstandards Online Services 
Computer Interface (OSCI) betreiben. 
Das beA sei als Drittprodukt am OSCI- 
Rechtsverkehr akzeptiert. Es verstoße 
auch nicht gegen die Grundrechte der 
Bürger dadurch, dass die beklagte BRAK 
keine Ende-zu-Ende-Verschlüsselung 
verwendet. Das anwaltliche Vertrau- 
ensverhältnis sei nicht gefährdet. Dem 
Beschluss zufolge gibt es auch keinen 
verfassungsrechtlichen Anspruch auf 
eine durchgehende Verschlüsselung. 
Die gewählte beA-Architektur sei sicher 
im Rechtssinne. 

Die GFF zeigte sich enttäuscht von 
dem Urteil und sieht nun den Gesetz- 
geber gefordert. Dieser müsse eine 
Ende-zu-Ende-Verschlüsselung ein- 
deutig vorschreiben. Das gebiete auch 
der verfassungsrechtliche Schutz des 
Mandatsgeheimnisses. Von der BRAK 
fordert die GFF einen Neustart, so der 
Vorsitzende Ulf Buermeyer: „Das beA 
war von Anfang an ein Sicherheits-De- 
saster. Außerdem ist das System sehr 
unkomfortabel und quälend langsam. 
Die BRAK sollte umgehend ein Update 
des Systems in Auftrag geben, das kei- 
ne Hintertüren enthält und sich flüssig 
bedienen lässt.” Der Mindeststandard 
einer Ende-zu-Ende-Verschlüsselung 
für sichere Kommunikation dürfe nicht 
ausgerechnet bei Anwälten unterschrit- 
ten werden. 

Die Bundesregierung hält das Ent- 
schlüsselungsrisiko indes „in Anbe- 


tracht der im Übrigen getroffenen Si- 
cherheitsmaßnahmen” für akzeptabel. 
Eine Entschlüsselung von Nachrichten 
im laufenden Betrieb würde ein Zusam- 
menspiel mehrerer Personen erfordern, 
da jeweils mehrere Mitarbeitende des 
Servicepartners und der BRAK beim 
Zusammenführen von Schlüssel und 
Botschaften gemeinsam agieren müss- 
ten. Das beA startete 2018 mit vielen 
sicherheitstechnischen Pannen, die 
Server mussten zeitweilig abgeschaltet 
werden. Eine Analyse der IT-Sicher- 
heitsfirma Secunet verwies auf viele 
Sicherheitslücken, die laut der BRAK 
inzwischen abgedichtet sein sollen. 
Die Anwaltskammer hatte Anfang 2021 
nach einer Klage auf Basis des Infor- 
mationsfreiheitsgesetzes von FragDen- 
Staat und der GFF Dutzende Dokumente 
zum beA herausgegeben, die Sicher- 
heitsaudits, Resultate zu Penetrations- 
tests und Verträge der Institution mit 
dem früheren Servicepartner Atos ein- 
schließen (Krempl, BGH: Kein Anspruch 
auf Ende-zu-Ende-Verschlüsselung 
beim Anwaltspostfach beA, www.heise. 
de 22.03.2021, Kurzlink: https://heise. 
de/-5995046). 


BGH 


AGB-Änderungen bedürfen 
der Kundenzustimmung 


Der Bundesgerichtshof (BGH) hat in 
einem Grundsatzurteil vom 27.04.2021 
zu schleichenden Vertragsänderungen 
und Gebührenerhöhungen gegenüber 
schweigenden Kunden den Spielraum 
für solche „Anpassungen“ bei Banken 
zulasten ihrer Kunden deutlich verklei- 
nert (Az. XIZR 26/20). Der elfte Zivilse- 
nat des BGH erklärte Klauseln der Post- 
bank für unwirksam, nach denen eine 
Änderung der Allgemeinen Geschäfts- 
bedingungen (AGB) und eben auch eine 
Anhebung der Entgelte schon dadurch 
wirksam werden, wenn der Kunde der 
geplanten Änderung nicht widerspricht. 
Nach der Vorstellung der Bank sollte es 
ausreichen, dass der Kunde „spätestens 
zwei Monate“ vor einer Änderung der 
Konditionen darüber informiert wur- 
de, gegebenenfalls elektronisch. Wenn 
ihm die Neuerung nicht passte, konnte 
er „fristlos und kostenfrei” kündigen. 
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Wenn er schwieg, wurde das als Zustim- 
mung gewertet. 

Nach den Worten des BGH-Vizepräsi- 
denten Jürgen Ellenberger werden die 
Kunden durch solche Klauseln unan- 
gemessen benachteiligt. Denn dadurch 
sei nicht nur die Anpassung einzelner 
Details möglich. Die AGB seien vielmehr 
„ohne jede inhaltliche oder gegenständ- 
liche Beschränkung” formuliert und 
ermöglichten damit „jede vertragliche 
Änderungsvereinbarung”. Den Kunden 
konnte durch bloße Bankeninformati- 
on - falls sie nicht widersprachen - ein 
ganz anderer Vertrag untergeschoben 
werden, etwa über ein Schließfach, das 
mit Kosten verbunden ist. Dies aber 
weicht, so der BGH, vom wesentlichen 
gesetzlichen Grundgedanken ab, wo- 
nach Schweigen grundsätzlich nicht als 
eine rechtsverbindliche Zustimmung 
gewertet werden darf. 

Auch eine weitere Klausel, bei der es 
ausdrücklich um Entgelte geht, ist laut 
BGH nicht haltbar, da es dadurch zu Ver- 
schiebungen des Äquivalenzverhältnis- 
ses zwischen den Vertragspartnern kom- 
men und damit zu einer Schwächung der 
Position des Kunden kommen könne. 
Solche Umgestaltungen der Beziehung 
zwischen Kunde und Bank könnten al- 
lein durch einen ausdrücklichen Ände- 
rungsvertrag vereinbart werden. 

Das Urteil dürfte weitreichende Aus- 
wirkungen haben. Der BGH wies aus- 
drücklich darauf hin, dass die bean- 
standeten Klauseln im Wesentlichen 
den Musterbedingungen von Banken 
und Sparkassen entsprächen, also in 
der Branche (auch bei Änderungen zum 
Datenschutz, Red.) üblich sind. Die 
Kreditinstitute werden nun vermutlich 
versuchen, ihre Bedingungen der neuen 
Rechtsprechung anzupassen. 

Ellenberger wollte bei der Urteilsver- 
kündung nicht ausschließen, dass auch 
künftig Vertragsbedingungen zulässig 
sein können, die den fehlenden Wider- 
spruch von Kunden als Zustimmung 
werten, etwa, wenn eine Anpassung an 
Gesetzesänderungen notwendig sei. Al- 
lerdings wird dies in deutlich geringe- 
rem Umfang erlaubt sein als bisher. Dar- 
anändert auch die Tatsache nichts, dass 
& 675g des Bürgerlichen Gesetzbuchs 
eine solche Zustimmungsfiktion aus- 
drücklich vorsieht, freilich beschränkt 
auf „Zahlungsdienste” wie das normale 
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Girokonto. Ellenberger stellte klar, dass 
in solchen Fällen eine volle „Inhalts- 
kontrolle” der Klauseln stattfinde - also 
eine gerichtliche Prüfung, ob der Kun- 
de unangemessen benachteiligt werde 
(Janisch, Um Antwort wird gebeten, SZ 
28.04.2021, 17). 


BGH-Ermittlungsrichter 


Scheuer-Logfiledaten für 
Untersuchungsausschuss 
kein Tabu 


Mit Beschluss vom 29.01.2021 ent- 
schied ein Ermittlungsrichter des Bun- 
desgerichtshofs (BGH) auf Antrag der 
Bundestagsfraktionen von FDP, Linken 
und Grünen, dass die sogenannten Log- 
files des Abgeordneten-Mail-Accounts 
von Andreas Scheuer im Rahmen der 
Ermittlungen des Maut-Untersuchungs- 
ausschusses ausgewertet werden dür- 
fen. Aus den Logfiles lässt sich erken- 
nen, wann, mit wem und mit welchem 
Betreff der Ministerüber diesen Account 
Mails ausgetauscht hat. Es geht um 
Kommunikation mit Staatssekretären 
oder Abteilungsleitern. 

Die Opposition hatte Scheuer zuvor 
vorgeworfen, wichtige Maut-Mails, die 
vor allem über sein Abgeordneten-Post- 
fach liefen, weiter geheim zu halten. 
Scheuer bestreitet das. Der Verkehrsmi- 
nister hatte allerdings anfangs auch be- 
stritten, dass überhaupt Maut-E-Mails 
über diesen Account liefen, und musste 
später zurückrudern. Sein Ministerium 
lieferte Dokumente an den Ausschuss 
nach und machte dafür ein „Bürover- 
sehen” verantwortlich. Die Opposition 
vermutete, dass immer noch nicht alle 
Mails vorliegen. 

Der Beschluss des BGH ist unange- 
nehm für Scheuer. Er ist aber auch eine 
Ohrfeige für Unions- und SPD-Fraktion 
im Maut-Ausschuss, die es unter Ver- 
weis auf einen unzulässigen Eingriff ins 
Fernmeldegeheimnis abgelehnt hatten, 
den von der Opposition geforderten Zu- 
griff auf die Daten Scheuers auch nur zu 
beantragen. Der BGH entschied nun je- 
doch, dass der Untersuchungsausschuss 
zu dem Antrag „verpflichtet“ sei. Er 
müsse den Bundestagspräsidenten zur 
Aufklärung um Vorlage dieser Logfiles 
bitten. Die Opposition habe schließlich 


konkrete Anhaltspunkte vorgetragen, 
die Zweifel an der Vollständigkeit der 
Minister-Mails begründeten. 

Die Entscheidung dürfte außer in 
Scheuers Ressort auch in weiteren Mi- 
nisterien für Unruhe sorgen, denn sie 
zeigt, dass der BGH die Rechte des Par- 
laments bei der Kontrolle von Ministern 
sehr hoch hängt. Der Schutz der Daten 
sei vor allem für Bürger gegen Eingriffe 
des Staates gedacht, auch Amtsträger 
könnten sich darauf berufen. Allerdings 
dürfe das nicht dazu führen, dass sie 
sich der Kontrolle durch das Parlament 
entziehen. 

So seien Amtsträger verpflichtet, Pri- 
vates und Dienstliches zu trennen. Auf 
Smartphones sei das auch für Minister 
technisch problemlos möglich. Die Lo- 
gik des BGH: Wer nicht sauber trennt, 
muss damit rechnen, dass seine Kom- 
munikation kontrolliert wird. Sonst 
könnten sich Minister schon dadurch 
der Kontrolle entziehen, dass sie Pri- 
vates in Dienstliches einflechten. Das 
Gleiche gelte für Mails, die Minister- 
Angelegenheiten betreffen, aber über 
deren Bundestags-Account liefen. Der 
hohe Schutz der Abgeordneten-Kom- 
munikation könne dann nicht zur Gel- 
tung kommen. 

Die Opposition drohte mit einer Ver- 
längerung des Maut-Ausschusses, 
wenn sich ihr Verdacht erhärtet. Des- 
sen Ermittlungen waren am Tag vor 
dem Beschluss mit der Einvernahme 
von Scheuer eigentlich abgeschlossen 
worden. Falls die Analyse der Logfiles 
Ungereimtheiten ergebe, sei es, so FDP- 
Obmann Christian Jung, denkbar, „dass 
weitere Zeugen geladen werden müs- 
sen” und der Abschlussbericht des Aus- 
schusses erst im September fertig werde 
(Balser, Daten, die Scheuer gefährlich 
werden könnten, SZ 01.02.2021, 5). 


OVG Schleswig-Holstein 


Videoüberwachung bei On- 
line-Prüfung ist zulässig 


Das Schleswig-Holsteinische Oberver- 
waltungsgericht (OVG) lehnte mit unan- 
fechtbarem Beschluss vom 03.03.2021 
den Antrag eines Studierenden der 
Christian-Albrechts-Universität zu Kiel 
(CAU) ab eine entsprechende Satzungs- 


DANA ® Datenschutz Nachrichten 2/2021 


regelung der CAU vorläufig außer Voll- 
zug zu setzen, die ihn verpflichtet eine 
in elektronischer Form abzulegende 
Prüfung mit Videoaufsicht zu erdulden 
(Az. 3 MR 7/21). 

Das OVG ließ den Antrag schon an der 
Zulässigkeit scheitern, weil der Antrag- 
steller sein Ziel auf diesem Wege nicht 
erreichen und seine Rechtsstellung 
folglich nicht verbessern könne. Es sei 
davon auszugehen, dass die CAU davon 
abgesehen hätte überhaupt Prüfungen 
in elektronischer Form vorzusehen, 
wenn sie diese nicht an eine Videoauf- 
sicht koppeln dürfte. Dies wiederum 
habe zur Folge, dass der Antragsteller im 
Falle eines gerichtlichen Erfolges über- 
haupt keine Prüfung ablegen könne, 
weil die alternativ anzubietenden Prä- 
senzprüfungen nach der Hochschulen- 
Coronaverordnung des Landes grund- 
sätzlich noch zu verschieben seien. 

Im Übrigen hätte, so das OVG, der An- 
trag auch in der Sache keinen Erfolg ge- 
habt, da die angegriffene Satzungsrege- 
lung über die Videoaufsicht auch unter 
Beachtung höherrangigen Rechts vor- 
aussichtlich rechtmäßig sei. Das Recht 
auf Unverletzlichkeit der Wohnung 
(Art. 13 Abs. 1GG) sei nicht betroffen, 
da dieses nur vor einem (digitalen) 
„Eindringen“ in die Wohnung schütze. 
Die Videoaufsicht erfolge jedoch nicht 
gegen den Willen der Studierenden. Sie 
könnten frei entscheiden, ob sie an der 
elektronischen Prüfung teilnähmen mit 
der Folge, Kamera und Mikrofon ihres 
Computers für die Aufsicht zu aktivie- 
ren, oder ob sie später eine Präsenz- 
prüfung ablegten. Obwohl diese derzeit 
nicht durchgeführt werden dürften, sei 
die Freiwilligkeit ihrer Entscheidung 
ausreichend gesichert. 

Der mit der Videoaufsicht verbun- 
dene Eingriff in das Grundrecht auf 
informationelle Selbstbestimmung sei 
durch das Gebot der Chancengleichheit 
gerechtfertigt. Danach müsse sicher- 
gestellt sein, dass bei einer Prüfung, 
für die keine Hilfsmittel zugelassen 
seien, eine Aufsicht unabhängig von 
der Prüfungsform stattfinden könne. 
Zur Erreichung dieses Zwecks sei die 
Videoaufsicht auch hinreichend ge- 
eignet. Dass sie zur Vermeidung von 
Täuschungshandlungen tatsächlich we- 
niger geeignet sein könne als eine Auf- 
sicht im Rahmen einer Präsenzklausur, 
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weil der Bildschirm des Prüflings nicht 
einsehbar sei und sich außerhalb des 
Kamerawinkels unzulässige Hilfsmittel 
befinden könnten, schade nicht. Auch 
bei Präsenzklausuren ließen sich nicht 
sämtliche Täuschungsversuche verhin- 
dern. Mit technischen Problemen, die 
zu einem regelhaften Ausfall elektroni- 
scher Prüfungen samt Aufsicht führten, 
sei nach zwischenzeitlicher Etablierung 
der Videokonferenztechnik gerade im 
Bildungsbereich nicht mehr zurechnen. 
Im Übrigen sei vorgesehen, dass die 
Prüfung bei technischer Undurchführ- 
barkeit vorzeitig beendet werde und 
der Prüfungsversuch als nicht unter- 
nommen gelte. Gleichermaßen geeig- 
nete Alternativen gebe es gegenwärtig 
nicht. Schließlich sei die Regelung bei 
Abwägung der widerstreitenden Belan- 
ge auch angemessen. Die Videoaufsicht 
führe gegenüber der Präsenzaufsicht 
zwar zu einer intensiveren Belastung, 
doch sei die Teilnahme an der elekt- 
ronischen Fernprüfung freiwillig und 
die Freiwilligkeit ausreichend sicher- 
gestellt. Zu einem „unbeobachtbaren 
Beobachtetwerden” komme es nicht. 
Anders als etwa bei der Vorratsdaten- 
speicherung liege eine Überwachung 
von Prüfungen in der Natur der Sache 
und sei den Betroffenen bekannt. 

Schließlich seien die Voraussetzun- 
gen und der Umfang der Datenerhebung 
und -verarbeitung in der Satzung der 
CAU hinreichend klar geregelt. Einer 
Regelung durch den Gesetzgeber habe 
es nicht bedurft, da er während der 
Corona-Pandemie bereits die entspre- 
chenden Rechtsgrundlagen im Hoch- 
schulgesetz geschaffen habe (Corona - 
Videoaufsicht bei elektronischer Hoch- 
schulprüfung zulässig, www.schleswig- 
holstein.de 04.03.2021). 


OVG NRW 


Videoprüfungen sind 
vorläufig DSGVO-konform 


Auch das Oberverwaltungsgericht 
Nordrhein-Westfalen (OVG NRW) hat 
mit unanfechtbarem Beschluss vom 
04.03.2021 den Normenkontroll-Eilan- 
trag eines Studenten aus Bonn abge- 
lehnt, der sich gegen die Corona-Prü- 
fungsordnung der Fernuniversität Hagen 


gewandt hatte (14 B 278/21.NE). Die 
Fernuni sieht in ihrer Corona-Prüfungs- 
ordnung als alternative Möglichkeit ne- 
ben Präsenzprüfungen, die bisher durch- 
geführt wurden, videobeaufsichtigte 
häusliche Klausurprüfungen vor. Danach 
werden die Prüflinge durch prüfungs- 
aufsichtsführende Personen über eine 
Video- und Tonverbindung während der 
Prüfung beaufsichtigt. Die Video- und 
Tonverbindung sowie die Bildschirman- 
sicht des Monitors werden vom Beginn 
bis zum Ende der Prüfung aufgezeichnet 
und gespeichert. Die Prüfungsaufzeich- 
nung wird nach dem Ende der Prüfung 
gelöscht. Dies gilt nicht, wenn die Auf- 
sicht Unregelmäßigkeiten im Prüfungs- 
protokoll vermerkt hat oder der Student 
eine Sichtung der Aufnahme durch den 
Prüfungsausschuss beantragt. In diesem 
Fall erfolgt die Löschung der Aufzeich- 
nung erst nach Abschluss des Rechtsbe- 
helfsverfahrens. Mit dem Eilantrag be- 
gehrte ein Student, der an einer solchen 
Prüfung am 08.03.2021 teilnehmen woll- 
te, die vorläufige Untersagung der Auf- 
zeichnung und Speicherung der Daten, 
nicht aber des Filmens an sich. Er machte 
geltend, das Vorgehen verstoße gegen 
die Datenschutz-Grundverordnung und 
sein Recht auf informationelle Selbstbe- 
stimmung. 

Das OVG begründete seine Ableh- 
nung damit, dass die Rechtmäßigkeit 
der Aufzeichnung und Speicherung im 
Eilverfahren nicht geklärt werden kön- 
ne. Die Datenschutz-Grundverordnung 
(DSGVO) lasse eine Datenverarbeitung 
zu, wenn sie für die Wahrnehmung einer 
Aufgabe erforderlich sei, die im öffent- 
lichen Interesse liege oder in Ausübung 
öffentlicher Gewalt erfolge, die dem 
Verantwortlichen übertragen worden 
ist. Hochschulen seien zur Durchfüh- 
rung von Prüfungen verpflichtet. In 
Wahrnehmung dieser Aufgabe habe die 
Fernuniversität dem prüfungsrechtli- 
chen Grundsatz der Chancengleichheit 
Geltung zu verschaffen. Dieser verlan- 
ge, dass für vergleichbare Prüflinge so 
weit wie möglich vergleichbare Prü- 
fungsbedingungen gälten, um allen 
Teilnehmern gleiche Erfolgschancen zu 
bieten. Insbesondere sei zu verhindern, 
dass einzelne Prüflinge sich durch eine 
Täuschung über Prüfungsleistungen 
einen Chancenvorteil gegenüber den 
rechtstreuen Prüflingen verschaffen. 
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Die Aufzeichnung und vorübergehen- 
de Speicherung dürfte sich im Ergebnis 
im Hinblick darauf, die teilnehmenden 
Prüflinge von Täuschungsversuchen ab- 
zuhalten, und im Hinblick auf ein sich 
im Verlauf der Prüfung ergebendes Be- 
dürfnis nach Beweissicherung in der 
Sphäre des Prüflings, auch für eine vom 
Prüfling geltend gemachte Störung des 
ordnungsgemäßen Prüfungsablaufs, als 
geeignet und erforderlich erweisen. Die 
wegen der verbleibenden Rechtmäßig- 
keitszweifel erforderliche ergänzende 
Folgenabwägung falle zu Lasten des 
Antragstellers aus, da die durch die Auf- 
zeichnung und Speicherung der Daten 
eintretenden Belastungen zumutbar 
seien (Oberverwaltungsgericht für das 
Land Nordrhein-Westfalen: Eilantraqg 
gegen videoüberwachte Prüfung der 
Fernuniversität Hagen erfolglos, www. 
Justiz.nrw 04.03.2021). 


VG Wiesbaden 


Löschbegehren muss in 
jedem Einzelfall geprüft 
werden 


Das Verwaltungsgericht Wiesba- 
den (VG) stellte mit Beschluss vom 
11.01.2021 ein Klageverfahren gegen 
den Hessischen Beauftragten für Da- 
tenschutz und Informationsfreiheit 
(HBDI) wegen Erledigung ein, in dem 
es um dessen Bescheid ging, der die 
Schufa nicht dazu verpflichtete einen 
negativen Eintrag zu löschen (Az.: 6 K 
1045/20). Die Klage war erforderlich 
geworden, da der Betroffene mit seinem 
Antrag auf Löschung bei der Schufa 
und der anschließenden Beschwerde 
über die Weigerung der Schufa beim 
Hessischen Beauftragten für Daten- 
schutz und Informationsfreiheit auf 
taube Ohren gestoßen war. Das Klage- 
begehren war darauf gerichtet, dass die 
ursprünglichen Bescheide aufgehoben 
und die Aufsichtsbehörde angewiesen 
wird eine Löschung der Negativeinträge 
bei der Schufa anzuordnen. 

Bei einem parallelen Verfahren hatte 
eine Klägerin im Mai 2020 verwundert 
feststellen müssen, dass für sie ein Ne- 
gativeintrag in Höhe von 110 Euro be- 
stand. Der Eintrag bezog sich auf eine 
Forderung, die Ende April 2020 entstan- 
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den war, aber dennoch auf Februar 2020 
datiert gewesen ist. Jedenfalls wurde 
die Forderung zehn Tage nach ihrer Ein- 
meldung von der Klägerin beglichen. 

Im Klageverfahren ging es um eine 
ehemalige Forderung einer großen Bank 
von über 20.000 Euro. Für die Hauptfor- 
derung hatte diese im Jahr 2007 einen 
Titel in Form eines Vollstreckungsbe- 
scheides erwirkt. Im Anschluss an die 
Titulierung begann der Betroffene die 
offene Forderung in monatlichen Raten 
von 50 Euro abzuzahlen. Seit 2014 wur- 
de die Forderung nach einem Schulden- 
bereinigungsplan bedient, weshalb der 
Kläger monatliche Raten von über 200 
Euro zahlte. Sechs Jahre später wurde 
die Forderung als erledigt vermerkt. 
Auch hier wurde der Löschungsauffor- 
derung nicht nachgekommen. Vielmehr 
sollte sogar eine Speicherung von weite- 
ren drei Jahren bis 2023 gerechtfertigt 
sein. Der Zeitstrahl über den Negativ- 
eintrag hätte 16 Jahre abgedeckt. 

Zu einem Urteil kam es in keinem der 
beiden Fälle. Kurz vor Jahresende 2020 
erklärte die Schufa, dass in beiden Ver- 
fahren eine Löschung der Einträge er- 
folge und sie sich dazu bereit erkläre, 
die Kosten des jeweiligen Verfahrens 
zu übernehmen. Die Vorgehensweise ist 
für die Schufa, die in den Verfahren Be- 
teiligte war, typisch: Wenn sie erkennt, 
dass sie im Prozess unterliegen wird, 
kommt sie dem Klageanliegen nach, so 
dass das Gericht das Verfahren für erle- 
digt erklären muss. Die Schufa vermei- 
det somit ein Urteil, auf das sich ande- 
re Betroffene möglicherweise berufen 
könnten. 

Datenschutzrechtlich könnte das Ver- 
fahren aber nachwirken. Das VG nahm 
hier vor allem die Datenschutzbehörde 
in die Pflicht die Löschbegehren von 
betroffenen Verbrauchern ernst zu neh- 
men. Eine pauschale oder oberflächli- 
che Prüfung wird dem Recht auf Verges- 
senwerden, dem Löschanspruch nach 
der DSGVO, nicht gerecht. So war es aber 
hier geschehen. Im ersten Fall hatte die 
Behörde den Löschantrag 48 Stunden 
lang „geprüft“. Im wesentlich komple- 
xeren, zweiten Fall hat die Behörde sich 
nur 24 Stunden mit dem Antrag ausein- 
andergesetzt, bevor sie ihn ablehnte. 
Statt eine tatsächliche Prüfung vorzu- 
nehmen und die widerstreitenden Posi- 
tionen zu bewerten, zog diese sich auf 


den Verhaltenskodex der Schufa (Code 
of Conduct) zurück und vertrat die An- 
sicht, dass dieses Vorgehen eine ausrei- 
chende Prüfung darstellen würde. Eine 
inhaltlich nachvollziehbare Argumenta- 
tion war nicht gegeben. 

Das Gericht brachte deutlich zum 
Ausdruck, dass der Verhaltenskodex 
der Auskunfteien nicht dazu führe, dass 
keinerlei Einzelfallprüfung mehr erfol- 
gen müsse. Zudem könne das Ergebnis 
einer Abwägung zwischen den Grund- 
rechten und Grundfreiheiten der betrof- 
fenen Person und den Interessen des 
Verantwortlichen, so wie dies von der 
DSGVO gefordert wird, nicht pauschal 
mit einer Speicherfrist von drei Jahren 
festgelegt werden. Vielmehr sei eine 
Einzelfallprüfung im jeweiligen Kontext 
durchzuführen. 

Die DSGVO verlangt für jede Ver- 
arbeitung von personenbezogenen 
Daten eine Rechtsgrundlage. Daten 
müssen gelöscht werden, wenn der 
Speicherzweck erreicht wurde. Die Spei- 
cherung in einer Auskunftei setzt ein 
berechtigtes Interesse gemäß Art. 6 
Abs. 1 lit. f DSGVO voraus. Dieses be- 
rechtigte Interesse muss begründet und 
dokumentiert sein. Vor allem muss es 
den Interessen der Betroffenen gegen- 
übergestellt und als vorzugswürdig ein- 
gestuft werden. 

Das war in diesen Fällen nicht gesche- 
hen. Besonders bedenklich ist dabei, 
dass hier die zuständige Aufsichtsbe- 
hörde die Vorgaben der DSGVO nicht 
ansatzweise beachtet zu haben scheint. 
Stattdessen wurde der Fall einseitig 
bewertet und die Verweigerung der Lö- 
schung mit einem Verhaltenskodex ge- 
rechtfertigt. Ein solches Vorgehen wird 
dem Umstand nicht gerecht, dass mit 
einem Negativeintrag der Schufa oft- 
mals schwerwiegende Konsequenzen 
für die Betroffenen einhergehen. 

Die Löschpflicht ist eine der wichtigs- 
ten Säulen der DSGVO. Sie umzusetzen 
fällt in der Praxis vielen Unternehmen 
nicht leicht. Ein funktionierendes 
Löschkonzept bleibt somit weiterhin 
eine der größten Herausforderungen 
im Datenschutzrecht. Betroffene sollten 
wachsam sein, sich mit einer Verweige- 
rung der Löschung nicht immer begnü- 
gen und eine solche hinterfragen. Das 
gilt umso mehr, wenn die Weigerung 
unzureichend begründet oder gar un- 
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rechtmäßig erfolgt und dadurch das 
alltägliche Leben negativ beeinflusst 
wird. Der Umstand, dass sich zusätzlich 
eine Behörde mit dem Fall beschäftigt 
hat, sollte Betroffene nicht immer da- 
von abhalten ihr Recht einzufordern. 
Zwar leisten die deutschen Aufsichtsbe- 
hörden oft gute Arbeit, aber unfehlbar 
sind sie nicht (Löschbegehren gegen 
SCHUFA-Eintrag - Gericht rügt HBDI, 
www.dr-datenschutz.de 15.01.2021). 


OLG Düsseldorf 


Kartellamtsverfügung 
gegen Facebook geht zum 
EuGH 


Das Oberlandesgericht Düsseldorf 
(OLG) zeigte in seinem Beschluss vom 
24.03.2021 erhebliche Zweifel am Vor- 
gehen des Bundeskartellamtes unter 
der Leitung von Andreas Mundt gegen 
Facebook und legte dem Europäischen 
Gerichtshof (EuGH) in Luxemburg die 
Frage vor, inwieweit Wettbewerbshüter 
Datenschutzerwägungen berücksichti- 
gen dürfen (Az. B6 - 22/16). Der Vorsit- 
zende Richter des Kartellsenats, Jürgen 
Kühnen, erklärte nach vierstündiger 
Verhandlung, das Kartellamt habe sich 
bei seinem Vorgehen gegen Facebook zu 
sehr auf deutsches Recht gestützt und 
EU-Recht vernachlässigt. 

Der EuGH soll grundsätzlich klären, 
ob das Bundeskartellamt der Daten- 
Sammelwut von Facebook aus Gründen 
des Datenschutzes einen Riegel vor- 
schieben kann, und ob der US-Inter- 
netkonzern eine marktbeherrschende 
Stellung ausnutzt, indem er Daten sei- 
ner Nutzer und Nutzerinnen unter Ver- 
stoß gegen Regeln des Datenschutzes 
sammelt und verwendet. Dazu erklärte 
der Kartellrechts-Professor Rupprecht 
Podszun: „Das ist eine Delikatesse, über 
so etwas können wir Kartellrechtler jah- 
relang auf Konferenzen streiten. Wenn 
das Kartellamt sagt, heute machen wir 
Datenschutzrecht und morgen noch 
Arbeitsrecht - wo ist da die Grenze?” Er 
selbst halte Facebooks Datensammlung 
für einen echten Kartellfall. 

Der Kernvorwurf der Wettbewerbshü- 
ter ist grundsätzlich: Anbieter wie Face- 
book sind so groß, dass die Nutzer auf 
sie angewiesen sind, so Mundt: „Den 
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Kunden wird keine Wahl gelassen. Ent- 
weder sie akzeptieren oder sie werden 
abgeschaltet.” Das Bundeskartellamt 
betrat 2019 juristisches Neuland, indem 
es eine „interne Entflechtung” von Fa- 
cebook forderte. Die Behörde hatte dem 
Konzern untersagt, Nutzerdaten der 
Facebook-Töchter WhatsApp und Insta- 
gram sowie von Webseiten anderer An- 
bieter ohne ausdrückliche Zustimmung 
der Nutzer und Nutzerinnen mit deren 
Facebook-Konten zu verknüpfen. Falls 
die User ihre Erlaubnis nicht geben, 
dürfe Facebook sie nicht von den Diens- 
ten ausschließen (DANA 2/2019, 84 £.). 

Der US-Konzern weist die Vorwürfe 
zurück. Von einer Marktbeherrschung 
könne angesichts der Konkurrenz durch 
Twitter, Snapchat oder Youtube keine 
Rede sein. Zudem entsprächen die Ge- 
schäftsbedingungen und die Methode 
der Datenverarbeitung der gängigen Pra- 
xis der Wettbewerber. Außerdem habe 
die Transparenz der Datenverarbeitung 
im Laufe der Zeit zugenommen, das gel- 
te auch für die Möglichkeit der User be- 
stimmte Verwertungen einzuschränken. 

Gegen den Beschluss des Kartellamts 
wehrtsichFacebookvorGericht.Ineinem 
Eilverfahren hatte das OLG Düsseldorf 
Mitte 2019 die Kartellamtsanordnun- 
gen ausgesetzt (DANA 4/2019, 239 £.). 
2020 hatte der Bundesgerichtshof 
(BGH) jedoch wiederum die Entschei- 
dung des OLG außer Kraft gesetzt und 
dem Kartellamt Recht gegeben (DANA 
3/2020, 210 £.). Der Vorsitzende Rich- 
ter am BGH, Peter Meier-Beck, hatte 
damals zur Begründung gesagt, das 
Gericht habe weder ernsthafte Zweifel 
an der marktbeherrschenden Stellung 
von Facebook noch daran, dass das Un- 
ternehmen diese marktbeherrschende 
Stellung mit den vom Kartellamt unter- 
sagten Nutzungsbedingungen „miss- 
bräuchlich ausnutzt.” 

Nach dem Eil- geht es nun um das 
Hauptsacheverfahren, in dem gründli- 
cher geprüft wird. OLG-Senatsvorsitzen- 
der Kühnen machte dabei deutlich, dass 
sich sein Senat nicht an die Sichtweise 
des BGH gebunden fühlt. Das Kartellamt 
habe unter anderem eine Behinderung 
des Wettbewerbs durch Facebook nicht 
nachweisen können. Es gehe um EU- 
Recht, das Kartellamt habe sich fälsch- 
lich auf das deutsche Wettbewerbsrecht 
gestützt. Kühnen bezweifelte zudem, 


dass Facebook Wettbewerber mit sei- 
nen Nutzungsbedingungen behindert. 
Womöglich wünschten sich Nutzer ja 
auch in einem perfekt funktionieren- 
den Wettbewerb, dass soziale Netzwerke 
ihnen maßgeschneiderte Werbung prä- 
sentieren statt irrelevanter Annoncen. 
Auch sei das Kartellamt keine Daten- 
schutzbehörde. Das Verbot des Kartell- 
amts richte sich gegen alle Facebook- 
Gesellschaften, diese seien aber nicht 
alle gehört worden. 

Kartellamts-Vertreter Jörg Nothdurft 
meinte dagegen, das deutsche Recht 
sei sehr wohl das richtige und gerade 
für datengetriebene Geschäftsmodelle 
geeignet. Auch Präsident Mundt bedau- 
erte die Entscheidung des OLG: „Eine 
endgültige höchstrichterliche Klärung 
durch den Bundesgerichtshof wird da- 
durch leider verzögert. Wir bedauern 
das natürlich im Lichte der Unterstüt- 
zung, die unsere Entscheidung im Eil- 
verfahren durch den Bundesgerichtshof 
erfahren hat.” 

Facebooks Anwälte begrüßten die 
OLG-Entscheidung. Die Verfügung des 
Kartellamts sei nun insgesamt aufzuhe- 
ben. Die Behörde habe nicht bewiesen, 
dass sich Facebook anders verhalte als 
ein imaginärer Netzwerkkonzern in ei- 
nem perfekt funktionierenden Wettbe- 
werb: „Wir reden hier über ein Kartell- 
verfahren, nicht über ein Verbraucher- 
verfahren.” 

Das Bundeskartellamt legt sich im- 
mer wieder mit Internet-Riesen an. Im 
jüngsten Verfahren - Oculus - geht es 
um eine Virtual-Reality-Brille, die man 
nur mit einem Facebook-Account nut- 
zen kann. Facebook macht die Nutzung 
der Brille davon abhängig, dass man 
einem Austausch der Daten zwischen 
Oculus und Facebook zustimmt. Hierzu 
Mundt: „Diese Verknüpfung zwischen 
Virtual-Reality-Produkten und dem 
sozialen Netzwerk des Konzerns könn- 
te einen verbotenen Missbrauch einer 
marktbeherrschenden Stellung durch 
Facebook darstellen.“ Seine Behörde 
ist auch gegen den Internethändler 
Amazon eingeschritten. Nach einer In- 
tervention des Kartellamts hat Amazon 
den über 300.000 Händlern, die über 
den Amazon-Marketplace verkaufen, 
für sie günstigere Geschäftsbedingun- 
gen eingeräumt. Sie profitieren jetzt 
von besseren Kündigungsfristen. Zu- 
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dem muss Amazon nun Gründe für eine 
mögliche Kündigung nennen und kann 
sich nicht länger von jeder Haftung ge- 
genüber den Händlern freizeichnen. 
In einem weiteren Verfahren überprü- 
fen die Wettbewerbshüter, ob Amazon 
Händler, die sich zu Beginn der Co- 
ronakrise mit Mondpreisen etwa für 
Masken bereichern wollten, zu Recht 
gesperrt hat oder nicht (Jahberg, Face- 
book-Streit landet vor dem EuGH, www. 
tagesspiegel.de 24.03.2021; Brühl/ 
Hurtz/Müller-Arnold, Likes vom Ober- 
landesgericht, SZ 25.03.2021, 17). 


OLG Hamburg 


Vermögensfragen von 
Politikern sind keine 
Privatsache 


Das Oberlandesgerichtt” Hamburg 
(OLG) hat mit Kostenbeschluss ent- 
schieden, dass Bundesgesundheitsmi- 
nister Jens Spahn ein weitreichendes 
Informationsinteresse der Öffentlich- 
keit an seinen privaten Vermögens- be- 
ziehungsweise Immobilienverhältnis- 
sen hinnehmen muss (Az.: 7 U 16/21). 
Spahn und sein Ehemann Daniel Funke 
hatten sich gegen die Berichterstattung 
des „Tagesspiegels“ über den Kauf einer 
vier Millionen Euro teuren Villa in Berlin 
gewendet. Das Landgericht Hamburg 
(LG) hatte zuvor die Ansicht vertreten, 
dass die Berichterstattung inklusive 
Erkundigungen beim Grundbuchamt zu 
weit gegangen sei und hatte eine einst- 
weilige Verfügung erlassen (siehe oben 
S. 117). Spahn hatte sich seinerseits 
dafür interessiert, welche Journalisten 
Auskunft verlangt hatten, sich dann 
aber juristisch zurückgezogen. 

Vor dem OLG ging es nur um eine 
Kostenentscheidung. Diese fiel zuun- 
gunsten Spahns und seines Ehemanns 
aus. Sie hätten, so das OLG, „wegen der 
überragenden Bekanntheit des Antrag- 
stellers” als einem „der profiliertesten 
deutschen Politiker” hinzunehmen, 
„dass in deutlich weiterem Umfang über 
ihre Vermögensverhältnisse berichtet 
wird, als dies für reine Privatpersonen 
gilt“. „Politische Führungspersonen 
müssen sich als Repräsentanten des 
Staates schon grundsätzlich eine kriti- 
sche Befassung mit ihren finanziellen 
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Verhältnissen gefallen lassen”. Für die 
„politische Meinungsbildung” sei es 
„auch von ganz erheblichem Interes- 
se, wie gewählte Volksvertreter ihren 
Lebensunterhalt bestreiten und wie sie 
finanziell situiert sind”. 

Dies könne der Öffentlichkeit Vermu- 
tungen oder sogar „Rückschlüsse auf 
ihre politische Unabhängigkeit, auf 
ihren Geschäftssinn, aber auch auf ihre 
politische Ausrichtung ermöglichen. 
Der Erwerb einer ungewöhnlich teuren 
Immobilie, die für durchschnittliche 
Verdiener außerhalb jeder Reichweite 
ist und auch mit der Vergütung eines 
Bundesministers nicht ohne weiteres zu 
bezahlen ist, kann zudem Anlass zu Dis- 
kussionen über das generelle Preisgefü- 
ge am Immobilienmarkt geben.” 

Da sich Spahn mit pointierten Aussa- 
gen als „besonders streitbarer Vertreter 
einer konservativen Politikrichtung” 
profiliert und etwa geäußert habe, dass 
die staatliche Grundsicherung (Hartz IV) 
ausreichend sei, müsse er sich „eher als 
andere Personen eine kritische Bericht- 
erstattung über seine Vermögens- und 
Einkommensverhältnisse gefallen las- 
sen”. Dies wirke sich „als unvermeidbarer 
Reflex” auch auf seinen Ehemann aus. 
Dieser müsse die Berichterstattung dul- 
den, da er sich immer wieder mit dem Mi- 
nister in der Öffentlichkeit zeige. 

Eine klare Absage erteilten die Richter 
auch den vorinstanzlichen Erwägungen, 
wonach die Informationen zur Finan- 
zierung rechtswidrig „durchgestochen” 
worden seien und deshalb nicht hätten 
berichtet werden dürfen. Auch in diesem 
Fall überwiegt nach ihrer Ansicht das 
Interesse der Öffentlichkeit. Das Grund- 
buchamt habe den Kaufpreis berechtig- 
terweise herausgegeben: Das Grundrecht 
auf Pressefreiheit begründe ein schutz- 
würdiges Interesse der Presse am Zugang 
zu Datensammlungen und Registern wie 
dem Grundbuch, die nur in beschränk- 
tem Umfang zugänglich seien. 

Im Kern ging es bei der Entscheidung 
nur noch darum, wer für den Rechts- 
streit zahlen muss. Spahn hatte es ab- 
gelehnt, die Kosten zu tragen, muss 
aber nun gemäß dem OLG-Beschluss 
drei Viertel, geschätzte 10.000 €, zah- 
len (Die teure Villa in Berlin, www.faz. 
net 27.04.2021; Heidtmann, Nicht wirk- 
lich privat, SZ 29.04.2021, 25; Müller- 
Neuhof, Gericht stuft Spahns Villen- 


kauf als politisches Thema ein, www. 
tagesspiegel.de 28.04.2021). 


LG München I 


BMG-Kooperation mit 
Google kartellrechtswidrig 


Gemäß zweier Beschlüsse der 
37. Zivilkammer des Münchener 
Landgerichts I (LG) in einstweiligen 
Verfügungsverfahren ist die Koopera- 
tion zwischen dem Bundesgesundheits- 
ministerium und Google kartellrechts- 
widrig (Az. 37 0 15720 u. 15721/20). 
Das Gericht hat damit den Anträgen von 
NetDoktor.de, das zum Burda-Verlag 
gehört, stattgegeben und festgestellt, 
dass die Vereinbarung Informationen 
eines Portals des Bundesgesundheits- 
ministeriums (BMG) in den Knowledge 
Panels von Google anzuzeigen unzu- 
lässig ist. Die zuständige Zivilkammer 
hat entsprechend die Zusammenarbeit 
des Ministeriums und des Suchma- 
schinenanbieters vorläufig untersagt. 
NetDoktor.de führte unter anderem an, 
dass seit der Bevorzugung von Google 
seine eigenen Klickzahlen teilweise bis 
zu 30% zurückgegangen seien, obwohl 
das Google-Ranking mehr oder weniger 
gleichgeblieben war. Das wiederum füh- 
re zu Abwanderungstendenzen bei Wer- 
bekunden bei NetDoktor.de. 

In der Begründung der Vorsitzenden 
Richterin Dr. Gesa Lutz heißt es: „Das 
BMG ist mit Google eine Vereinbarung 
eingegangen, die eine Beschränkung des 
Wettbewerbs auf dem Markt für Gesund- 
heitsportale bewirkt”. Die bestmögliche 
Position in den Suchergebnissen, also 
die Infobox, stünde privaten Anbietern 
von Gesundheitsportalen nicht mehr zur 
Verfügung. NetDoktor.de sei angewie- 
sen auf die Sichtbarkeit bei Google, die 
durch die Infoboxen stark eingeschränkt 
wird, was wiederum zu einem verringer- 
ten Nutzeraufkommen bei NetDoktor.de 
führt und damit potenziell zu einem Ver- 
lust von Werbeeinnahmen. 

Anders als das Gesundheitsministe- 
rium bisher argumentierte, stellte Lutz 
fest: „Die Zusammenarbeit von Google 
und dem BMGist auch nicht wegen qua- 
litativer Effizienzgewinne, etwa wegen 
einer Verringerung des Suchaufwands 
für die Nutzer oder einer Verbesserung 
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der Gesundheitsaufklärung der Bevöl- 
kerung durch die Infoboxen, ausnahms- 
weise zulässig.“ Die Nachteile würden so 
nicht aufgewogen, wozu auch eine Re- 
duzierung der Medien- und Meinungs- 
freiheit gehöre. 

Die Beschlüsse sind noch nicht 
rechtskräftig. Die Kammer hat zudem 
nicht entschieden, ob das Ministerium 
überhaupt ein solches Informationspor- 
tal betreiben darf. Ein Antrag auf ein- 
seitig marktmissbräuchliches Verhalten 
von Google wurde aus formellen Grün- 
den zurückgewiesen. 

Bundesgesundheitsminister Jens 
Spahn und der für Europa zuständige 
Google-Vizepräsident Philipp Justus 
hatten die Kooperation im November 


Beschäftigten- 
datenschutz und 
Compliance 


Thüsing, Gregor 
Beschäftigtendatenschutz und 
Compliance 

C.H.Beck-Verlag München, 

3. Aufl. 2021 

ISBN 978 3 406 71502 0, 393 S., 
129,00 € 


(tw) Es gibt nicht nur viele Darstellun- 
gen und Abhandlungen zum Datenschutz 
allgemein, sondern auch zum Beschäf- 
tigtendatenschutz speziell. Stärker noch 
als bei den allgemeinen Darstellungen 
ist beim Literaturstudium über die ar- 
beitsrechtliche Digitalisierung zu hin- 
terfragen, wessen Lied hier jeweils ge- 


DANA ® Datenschutz Nachrichten 2/2021 


2020 bekannt gegeben. 160 Gesund- 
heitsthemen sollten seither bei der 
Suche prominent als Knowledge Panel 
angezeigt werden - die Informationen 
stammen allesamt vom Portal gesund. 
bund.de. Neben NetDoktor.de klagt 
auch der „Wort & Bild“-Verlag, dem die 
Apothekenumschau angehört. Die Me- 
dienanstalt Schleswig-Holstein/Ham- 
burg hat ebenfalls ein Verfahren einge- 
leitet, da das Portal den Medienstaats- 
vertrag verletzen könnte. 

Nach der Entscheidungsverkündung 
zeigte sich der Burda-Justiziar Maxi- 
milian Preisser erfreut und pries die 
Beschlüsse als Sieg „für die gesamte 
Presse“. Das BMG teilte mit, man werde 
„das Urteil zur Kenntnis nehmen” und 


sungen wird - das der Arbeitgeber oder 
der Arbeitnehmer? Insofern wird bei dem 
Handbuch von Thüsing schnell klar: Ad- 
ressiert wird der Unternehmensjurist, 
nicht die oder der Beschäftigte. Letztge- 
nannte interessieren sich rollenbedingt 
nicht für „Compliance“. Sie dürften schon 
im Vorwort schlucken, wenn dort beim 
Datenschutz vor dem „Eifer des Zeloten” 
- also des Einäugigen - gewarnt wird. 
Nicht nur dieses Bild, auch der einleiten- 
de elaborierte Sprachgebrauch adressiert 
offenbar eher den Akademiker in der Un- 
ternehmensleitung als den Betriebsrat. 
Steigt der Rezensent dann in die Tie- 
fen des Werks ein, so muss er regelmä- 
ßig sein zunächst gefasstes Vorurteil 
revidieren: Diese systematische Darstel- 
lung des Beschäftigtendatenschutzes 
ist weitgehend ausgewogen, mit guten 
und vielen Quellen belegt und geht an 
vielen Punkten tiefer, als das von an- 
deren Darstellungen gekannt wird; so 
spricht sie z.B. immer wieder mal auch 
internationale Bezüge an. Dies hin- 
dert den Autor bzw. die Autoren aber 
nicht, eine eher unternehmensorien- 
tierte Argumentation zu verfolgen, 
etwa wenn es um die Anwendung des 
Telekommunikations(TK-)geheimnisses 
und des TK-Gesetzes bei der Erlaubnis 


nach dessen Auswertung über weitere 
Schritte entscheiden. Google erklärte: 
„Wir sind enttäuscht darüber, dass das 
Landgericht München die Einbindung 
von faktischen und wissenschaftlichen 
Informationen in die Google Suche nun 
untersagt hat. Wir prüfen die Entschei- 
dung und die uns zur Verfügung ste- 
henden Rechtsmittel” („Netdoktor ge- 
gen BRD und Google: Vereinbarung über 
Knowledge Panels kartellrechtswidrig”, 
www.justiz.bayern.de 10.02.2021; 
Weiß, Gericht untersagt Kooperation 
von Gesundheitsministerium mit Goog- 
le, www.heise.de 10.02.2021, Kurzlink: 
https://heise.de/-5051197; Handel, 
Urteilnach Burda-Klage, SZ 11.02.2021, 
23). 


Buchbesprechungen | 


privater Nutzung von TK-Anlagen geht, 
was entgegen der herrschenden Mei- 
nung - aber mit erwägenswerten Grün- 
den - abgelehnt wird. 

Zwar steht auf dem Umschlag des 
Werks „Thüsing”, doch sind neben dem 
Bonner Arbeitsrechtler vier weitere Au- 
toren drin, die alle dem „Stall“ von Thü- 
sing zugeordnet werden können: Gerrit 
Forst, Stephan Pötters, Thomas Gra- 
netzky und Johannes Traut. Diese, wohl 
hauptverantwortlich für die jeweils ge- 
meinsam mit Thüsing gezeichneten Tex- 
te, haben sich auch schon anderweitig 
wissenschaftliche Sporen verdient. 

Anders als andere renommierte Hand- 
bücher zum Beschäftigtendatenschutz, 
etwa den „Gläsernen Belegschaften” 
von Wolfgang Däubler, fällt bei der 
Lektüre auf, dass das Werk Schwerge- 
wichte legt und dabei zugleich wichti- 
ge Inhalte vernachlässigt: So wird der 
Beschäftigtendatenschutz in das über- 
geordnete Thema Compliance einge- 
ordnet, was dazu führt, dass z.B. dem 
Whistleblowing ein wichtiger Platz zu- 
gewiesen wird. Complianceaufgaben der 
Unternehmensleitung werden umfas- 
send abgeleitet und begründet. Das Be- 
triebsverfassungsrecht und insbeson- 
dere die 88 87 Abs. 1Nr. 6 und 80 Abs. 2 
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werden ausführlich behandelt, aber 
die Funktion der Mitbestimmung beim 
Datenschutz nur kursorisch. Unter 
der Überschrift „personengebundene 
Merkmale“ wird der Biometrieeinsatz 
ausführlich erörtert; die praktisch er- 
heblich bedeutendere Verarbeitung 
von Gesundheitsdaten wird dagegen 
in einem knappen „Exkurs“ behandelt. 
Weitere Schwerpunkte sind Datenab- 
gleiche, E-Mail-Nutzung, Videoüber- 
wachung, Mobilitätsüberwachung, 
Social Media oder Haftung. Automa- 
tisierte Entscheidungen finden keine 
Erwähnung; Betroffenenrechte werden 
unter der Überschrift „Absicherung 
des materiellen Datenschutzes durch 
Transparenz, Organisationspflichten 
und Dokumentation” sehr selektiv ab- 
gehandelt. Und beim internationalen 
Datenverkehr wird die zentrale Ent- 
scheidung des EuGH zu „Schrems II” 
zwar erwähnt, die damit verbundenen 
Konsequenzen aber nur oberflächlich 
behandelt. Ein Grund für die begrenzte 
Aktualität des 2021 veröffentlichten 
Buchs lässt sich vermuten, wenn das 
Vorwort vom November 2019 datiert: 
Möglicherweise wurde das Ursprungs- 
manuskript schon früher fertiggestellt 
und dann nur noch aktualisiert. Das 
Jahr 2020 war auch für juristische 
Buchveröffentlichungen wegen Corona 
ein schwieriges Jahr. 

Das tut dem Wert des Buchs aber kei- 
nen Abbruch: Es ist gerade auch für 
arbeitnehmernahe Datenschützer und 
Bürgerrechtler wichtig, den Blick über 
den eigenen Tellerrand zu richten. Hier- 
zu bietet der „Thüsing“ Material für ge- 
diegene Recherche bei den behandelten 
Themen. Auch einige Checklisten oder 
Formulierungsvorschläge sind es wert, 
in der praktischen Arbeit hinzugezogen 
zu werden. Allein auf dieses Werk zur 


Jetzt DVD-Mitglied werden: 


Beantwortung von Rechtsfragen kann 
man sich aber in vielen Bereichen des 
Beschäftigtendatenschutzes nicht ver- 
lassen. 


Köpker | Vorkamp Ding] 


Kipker, Dennis-Kenji/ 

Voskamp, Friederike (Hrsg.) 
Sozialdatenschutz in der Praxis 
Nomos Verlag Baden Baden 2021, 
582 S., ISBN 978-3-8487-5843-2, 
79,00€ 


(tw) Nachdem die Literaturschwemme 
zur DSGVO aufein normales Maß zurück- 
gegangen ist und allenfalls Neuauflagen 
das Marktgeschehen beim allgemeinen 
Datenschutz beleben, öffnen sich die 
bereichsspezifischen Datenschutzfra- 
gen der literarischen Bearbeitung. Zu- 
nächst fanden sich diese Arbeiten mit 
spezifischen Fragestellungen in Fach- 
zeitschriften verteilt. Inzwischen wer- 
den die dabei erlangten Erkenntnisse 
in Buchform zusammengeführt. Für je- 
manden, der den gewaltigen Zeitschrif- 
tenmarkt kaum abdecken kann, besteht 
so die Möglichkeit gezielt und mit ei- 
nem Griff in den Bücherschrank sich die 
nötigen Informationen zu besorgen. 

Diese Möglichkeit besteht inzwischen 
auch für den Bereich des Sozialdaten- 
schutzes, zu dem der Nomos-Verlag 
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nach einer einschlägigen, von Krahmer 
herausgegebenen Gesetzeskommen- 
tierung (DANA 2/2020, 131.) nun das 
Praktikerhandbuch, herausgegeben von 
Kipker/Voskamp, präsentiert. Und tat- 
sächlich ist damit gleich in der ersten 
Auflage eine Zusammenstellung gelun- 
gen, die viele Bedürfnisse der „Praxis“ 
befriedigt ohne dabei auf die wissen- 
schaftliche Tiefe zu verzichten. 

Es ist eigentlich ein Ding der Unmög- 
lichkeit das derzeit geltende Sozialda- 
tenschutzrecht in einem Werk konsis- 
tent darzustellen und dabei zugleich 
den Blick für die Praxis zu wahren. Die 
vielen SGB-Bücher sind wort- und fa- 
cettenreich. Der Datenschutz dort ist 
vielstufig und unübersichtlich geregelt. 
Doch ist das Anliegen einer umfassen- 
den verständlichen Darstellung mit die- 
sem Sammelwerk weitgehend gelungen, 
in dem Praktikerinnen und Praktiker 
qualifiziert ihre Bereiche darstellen. 
Dabei verwundert die eher untypische 
Gliederung, bei der nach einer allgemei- 
nen Einführung zunächst die Betroffe- 
nenrechte und Kontrollen, dann die Ver- 
antwortlichkeiten und die technischen 
Entwicklungen und erst danach das 
allgemeine Sozialverwaltungsverfah- 
ren des SGB X dargestellt werden. Diese 
Reihenfolge erschließt sich aber schnell 
bei der Lektüre. Dem folgen vier große 
spezifische Kapitel zum gerichtlichen 
Verfahren, zur Forschung, zur Grund- 
sicherung für Arbeitssuchende und zur 
Kinder- und Jugendhilfe. Zu knapp fällt 
dagegen das letzte Kapitel zu den Sozi- 
alversicherungen (Kranken-, Renten- 
und Unfallversicherung) mit nur knapp 
50 Seiten aus. Doch wird auch insofern 
ein Überblick über die jeweils großen 
Felder gegeben. Die Detailrecherche 
macht hier aber die Zuziehung eines 
Spezialkommentars nötig. 
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Dies gilt nicht für die Bereiche Ar- 
beitslosengrundsicherung und Kin- 
der- und Jugendhilfe, wo auf die in der 
Praxis auftretenden Fragen qualifizierte 
Antworten gegeben werden. Beeindru- 
ckend sind die Kapitel zum Gerichts- 
verfahren und zur Forschung. Hier be- 
reitet - soweit erkennbar erstmals - ein 
Sozialrichter (Leopold) systematisch 
alle relevanten Fragen auf, die vor dem 
Sozialgericht anfallen, wobei er vie- 
le Antworten gibt, die auf die gesamte 
Gerichtsbarkeit übertragbar sind. Noch 
ausführlicher und ins Detail gehend 
ist Schäfer, die nicht nur den rechtli- 
chen Rahmen der Forschung darstellt, 
sondern auch viele Details aus der Pra- 
xis - und dies auf aktuellem Stand. So 
widmet sie sich ausführlich den Trans- 
parenzregeln nach den 85 303a ff. 
SGB V mit dem Forschungsdatenzent- 
rum, aber auch vielen weiteren Daten- 
quellen und Forschungsstrukturen. 
Dass dabei die nationalen Regelungen 
nicht an den forschungsfreundlichen 
Ansprüchen der DSGVO gemessen wer- 
den, ist für ein Praktikerhandbuch ver- 
ständlich, aber letztlich schade und in- 
sofern entwicklungsfähig. 

Jedes der Kapitel ist eine in sich 
geschlossene Darstellung wodurch 
Redundanzen, also Mehrfachbehand- 
lungen einzelner Themen, nicht zu 
vermeiden sind. Dies eröffnet aber 
auch den Blick auf verschiedene 
Sichtweisen. Durch die Praxisnähe der 
Autorinnen und Autoren wird oft eine 
pragmatische Sicht vermittelt ohne 
aber dabei das Grundanliegen des 
Persönlichkeitsschutzes, der mit der 
Vertraulichkeit für die soziale Arbeit 
wesentlich ist, in Frage zu stellen. Die 
Literaturauswahl ist manchmal selek- 
tiv, aber äußerst hilfreich, ebenso wie 
die einleitende Gliederung sowie die 
für ein Handbuch zentralen Verzeich- 
nisse zu Stichworten, Literatur und 
Abkürzungen. 

Durch die Problemorientierung der 
Darstellung ist dieses Buch sowohl 
Praktikern wie auch Wissenschaftlern 
sehr zu empfehlen. Angesichts des Um- 
stands, dass gerade in Coronazeiten 
Bibliotheken nicht oder schwer zu- 
gänglich sind, erhält man mit diesem 
Handbuch eine nützliche Hilfe bei der 
Anwendung des Sozialdatenschutzes 
in die Hand. 
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Manfred Wernert 
Internetkriminalität 
Stuttgart 2021, Boorberg Verlag 
ISBN: 978-3415068919 


(me) Das Thema „Internetkriminali- 
tät“ istvon hoher Brisanz und großer Ak- 
tualität: Das zeigt die Berichterstattung 
über die mit NSU 2.0 gekennzeichneten 
Drohschreiben, gerichtet an Personen 
des öffentlichen Lebens. Der mutmaß- 
liche Täter konnte nach jahrelangen Er- 
mittlungen gefasst werden. Er nutzte die 
Strukturen des Darknet. Besondere Ak- 
tualität bekommt das Thema auch durch 
die Zerschlagung pädophiler Netzwerke, 
die vor allem im Internet (im Darknet) 
aktiv waren. Ihre Zerschlagung gelang 
vor kurzem (Nachrichtenmagazin „Pan- 
orama” vom 4.5.2021). 

Das Lehrbuch erscheint mittlerweile seit 
über zehn Jahren und ist in 4. Auflage er- 
hältlich. Seine vorrangige Zielgruppe sind 
Polizeibeamte. Darüber hinaus wird nicht 
nur der in Informatik und Rechtswissen- 


WER KANN MIR 
MAL DIESEN 
TEXT VORLESEN? 


Cartoon 


schaft Vorgebildete Honig aus der Lektüre 
saugen können, sondern auch der inte- 
ressierte Laie. Verfasst wurde es von ei- 
nem Dozenten der Hochschule für Polizei 
Baden-Württemberg, Manfred Wernert. 

In der gebotenen Kürze besticht die 
Darstellung auf 232 Seiten durch Über- 
sichtlichkeit und Verständlichkeit der 
Ausführungen. Besonders gut gelungen 
sind die Ausführungen zu den Rechts- 
grundlagen polizeilicher Ermittlungstä- 
tigkeit und die Beschreibung der tech- 
nischen Grundlagen des Cybercrime und 
der Gerätschaften, derer er sich bedient. 
Zu Recht weist der Autor darauf hin, 
dass das Internet als Tatort auch künftig 
nur begrenzt kontrollierbar sein wird. 
Wernert versucht die vorhandenen Kon- 
trollmöglichkeiten wirksamer werden 
zu lassen und die Ermittlungsmöglich- 
keiten der Polizei zu beleuchten. Be- 
sondere Erscheinungsformen der Krimi- 
nalität werden im Einzelnen vorgestellt, 
neben den bereits benannten Feldern 
beispielsweise Betrug, Urheberrechts- 
verletzungen, Diebstahl digitaler Iden- 
titäten, „Happy Slapping’”, u.a. 
Gefallen hat nicht zuletzt die Gestaltung 
des Lehrbuches mit Hilfe fotografischer 
Darstellungen der betroffenen Hard- 
ware, erläuternden Diagrammen, einem 
Überblick über einschlägige Rechtsvor- 
schriften und einem Glossar mit den 
wichtigsten Fachbegriffen. 


1 Körperlicher Angriff auf Unbeteiligte, 
der gefilmt wird und dadurch die Ernied- 
rigung der Opfer beabsichtigt. 


„Der Landesvorstand bestellt eine"n Daten- 


schutzbeauftragte*n für den Landes- 

verband der Fartei. Die / der Datenschutz- 
beauftragte darf selbst kein*e Mitglieder- 
beauftragte*r eines Kreisverbandes sein.“ 


© 2021 Frans Valenta 


Die Inspiration zu diesem Cartoon kam von einem Text auf der Internetseite einer Partei in NRW. 
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„Ich hahe nichts zu verbergen!“ 


ö Mein 
Ich bin Pfarrer, Die PIN- Geburtsdatum? 
aber ich glaube Nummer meiner 12.09.1988 
nicht an Gott EC-Karte ist Geburtsort: 
5151 _ Bonn 


Der ‘ - 
Zahlencode von : Meinen 5400 


meinem Fahrrad- Followern bei Face- 
schloss: 2468 | book werde ich jetzt 
\ meine Adresse be- 

kannt geben 


Das Pass- 
wort von meiner 
E-Mail-Adresse: 

F8jd4xxG3 


Wohnung ist unter 
der Fußmatte auf 
der Terrasse 


Schaut mal wie- 
viel Geld sich auf 
meinem Konto ange- 
sammelt hat 


Bild: iStock.com/bernardbod; 


